Googlen uusin päivitys Chrome-selain on ilmestynyt, ja neliosainen versionumero osuu siihen 104.0.5112.101 (Mac ja Linux) tai 104.0.5112.102 (Windows).
Googlen mukaan uusi versio sisältää 11 tietoturvakorjausta, joista yhteen on merkitty huomautus, että "Väärinkäytös [tähän haavoittuvuuteen] on olemassa luonnossa", mikä tekee siitä nollapäivän reiän.
Nimi zero-day on muistutus siitä, että oli nollapäiviä, jolloin jopa parhaiten perillä oleva ja proaktiivisin käyttäjä tai järjestelmänvalvoja olisi voinut paikata ennen Bad Guyja.
Päivitä tiedot
Tiedot päivityksistä ovat niukkoja, koska Google, kuten monet muutkin toimittajat nykyään, rajoittaa pääsyä virhetietoihin "kunnes suurin osa käyttäjistä on päivitetty korjauksella".
Mutta Googlen julkaisutiedote luettelee eksplisiittisesti 10 11 virheestä seuraavasti:
- CVE-2022-2852: Käytä ilmaiseksi FedCM:ssä.
- CVE-2022-2854: Käytä sen jälkeen ilmaiseksi SwiftShaderissa.
- CVE-2022-2855: Käytä vapaan jälkeen ANGLE-tilassa.
- CVE-2022-2857: Käytä ilmaiseksi Blinkissä.
- CVE-2022-2858: Käytä ilmaisen jälkeen sisäänkirjautumisprosessissa.
- CVE-2022-2853: Keon puskurin ylivuoto Latauksissa.
- CVE-2022-2856: Epäluotettavan syötteen validointi Intentsissä ei ole riittävä. (nollapäivä.)
- CVE-2022-2859: Käytä jälkeen ilmaiseksi Chrome OS Shellissä.
- CVE-2022-2860: Riittämätön käytäntöjen täytäntöönpano evästeissä.
- CVE-2022-2861: Sopimaton toteutus Extensions API:ssa.
Kuten näet, seitsemän näistä virheistä johtui muistin huonosta hallinnasta.
A käyttö jälkikäteen haavoittuvuus tarkoittaa, että yksi Chromen osa luovutti takaisin muistilohkon, jota se ei aikonut enää käyttää, jotta se voitaisiin siirtää käytettäväksi muualla ohjelmistossa…
…vain jatkaa kyseisen muistin käyttöä joka tapauksessa, jolloin yksi Chromen osa saattaa luottaa tietoihin, joihin se luuli luottavansa, ymmärtämättä, että ohjelmiston toinen osa saattaa silti peukaloida näitä tietoja.
Usein tämänkaltaiset virheet saavat ohjelmiston kaatumaan kokonaan sotkemalla laskelmia tai muistin käyttöä peruuttamattomasti.
Joskus use-after-free -virheitä voidaan kuitenkin laukaista tarkoituksella ohjelmiston ohjaamiseksi väärin niin, että se toimii väärin (esimerkiksi ohittamalla turvatarkistuksen tai luottamalla väärään syöttötietolohkoon) ja provosoimaan luvatonta toimintaa.
A kasan puskurin ylivuoto tarkoittaa muistilohkon pyytämistä, mutta enemmän datan kirjoittamista kuin siihen turvallisesti mahtuu.
Tämä täyttää virallisesti varatun puskurin ja korvaa tiedot seuraavassa muistilohkossa, vaikka tämä muisti saattaa olla jo jonkin muun ohjelman osan käytössä.
Puskurin ylivuodot aiheuttavat siksi tyypillisesti samanlaisia sivuvaikutuksia kuin use-afre-free -bugit: useimmiten haavoittuva ohjelma kaatuu; joskus ohjelma voidaan kuitenkin huijata suorittamaan epäluotettavaa koodia ilman varoitusta.
Nollapäivän reikä
Nollapäivän vika CVE-2022-2856 esitetään yksityiskohtaisemmin kuin yllä näet: "Intentsin epäluotettavan syötteen validointi riittämätön."
Chrome Tarkoitus on mekanismi sovellusten käynnistämiseksi suoraan verkkosivulta, jossa verkkosivun tiedot syötetään ulkoiseen sovellukseen, joka käynnistetään käsittelemään kyseisiä tietoja.
Google ei ole antanut tietoja siitä, mitä sovelluksia tai millaisia tietoja tämä virhe voisi haitallisesti manipuloida…
…mutta vaara näyttää melko ilmeiseltä, jos tunnettuun hyväksikäyttöön kuuluu paikallisen sovelluksen hiljainen syöttäminen riskialttiilla tiedoilla, jotka normaalisti estetään turvallisuussyistä.
Mitä tehdä?
Chrome todennäköisesti päivittää itsensä, mutta suosittelemme tarkistamista joka tapauksessa.
Käytä Windowsissa ja Macissa Lisää: > Apu: > Tietoja Google Chromesta > Päivitä Google Chrome.
Siitä on erillinen julkaisutiedote Chrome iOS:lle, joka menee versioon 104.0.5112.99, mutta ei vielä tiedotetta [2022-08-17T12:00Z], jossa mainitaan Chrome Androidille.
Tarkista iOS:ssä, että App Store -sovelluksesi ovat ajan tasalla. (Käytä itse App Store -sovellusta tähän.)
Voit seurata tulevia Android-päivitysilmoituksia Googlessa Chrome julkaisee blogi
Oman Chrome-selaimen avoimen lähdekoodin Chromium-versio on myös tällä hetkellä versiossa 104.0.5112.101.
Microsoft Edge turvallisuushuomautuksia, kuitenkin tällä hetkellä [2022-08-17T12:00Z] sanovat:
Elokuu 16, 2022
Microsoft on tietoinen viimeaikaisesta luonnossa esiintyvästä hyväksikäytöstä. Työskentelemme aktiivisesti tietoturvakorjauksen julkaisemiseksi, kuten Chromium-tiimi ilmoitti.
Voit pitää silmällä Microsoftin virallista Edge-päivitystä Edgen tietoturvapäivitykset sivu.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Google Chrome
- Kaspersky
- haittaohjelmat
- McAfee
- Naked Security
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- alttius
- verkkosivuilla turvallisuus
- zephyrnet
![S3 Ep115: Todellisia rikostarinoita – Päivä kyberrikollisuuden taistelijan elämässä [Ääni + teksti] PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Todellisia rikostarinoita – päivä kyberrikollisuuden taistelijan elämässä [Ääni + teksti]")
![S3 Ep104: Pitäisikö sairaalan kiristysohjelmien hyökkääjät lukita elinikäiseksi? [Ääni + teksti] PlatoBlockchain Data Intelligence. Pystysuuntainen haku. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: Pitäisikö sairaalan kiristysohjelmien hyökkääjät lukita elinikäiseksi? [Ääni + teksti]")
