A Google a „vadon” Chrome nulladik napját javítja – frissítse most!

A Google legújabb frissítése a Chrome böngészőhöz különböző számú hibát javít, attól függően, hogy éppen Android, Windows vagy Mac, és attól függően, hogy a „stabil csatornát” vagy a „kiterjesztett stabil csatorna".

Ne aggódjon, ha a Google blogbejegyzések sokaságát zavarónak találja…

…mi is megtettük, ezért megpróbáltunk egy mindent az egyben összefoglalót készíteni az alábbiakban.

A Stabil csatorna a legfrissebb verzió, beleértve az összes új böngészőfunkciót, jelenleg számozott Chrome 103.

A Kibővített stabil csatorna ként azonosítja magát Chrome 102, és nem rendelkezik a legújabb szolgáltatásokkal, de a legújabb biztonsági javításokkal rendelkezik.

A fent felsorolt ​​három közleményben három CVE-számú hiba található:

• CVE-2022-2294: Puffer túlcsordulás a WebRTC-ben. Nulladik napi lyuk, amelyet a kiberbűnözők szervezete már ismert, és amelyet a vadonban is aktívan kizsákmányolnak. Ez a hiba az összes fent felsorolt ​​verzióban megjelenik: Android, Windows és Mac, „stabil” és „hosszabbított stabil” ízekben egyaránt. WebRTC a „webes valós idejű kommunikáció” rövidítése, amelyet számos audio- és videomegosztó szolgáltatás használ, például távoli értekezletekhez, webináriumokhoz és online telefonhívásokhoz.
• CVE-2022-2295: Írászavar a V8-ban. A kifejezés V8 A Google JavaScript-motorjára utal, amelyet minden JavaScript-kódot tartalmazó webhely használ, amely 2022-ben szinte minden webhelyen megtalálható. Ez a hiba Android, Windows és Mac rendszeren jelenik meg, de nyilvánvalóan csak a Chrome 103 változatban („stabil csatorna”).
• CVE-2022-2296: Utólag ingyenesen használható a Chrome OS Shellben. Ez Windows és Mac rendszeren a „stabil csatornára” vonatkozik, bár a Chrome OS shell, ahogy a neve is sugallja, a Chrome OS, amely sem nem Windows, sem nem Mac alapú.

Ezenkívül a Google javított egy csomó nem CVE-számú hibát, amelyek együttesen Hibaazonosító 1341569.

Ezek a javítások egy rakás proaktív javítást kínálnak „belső auditokon, fuzzingon és egyéb kezdeményezéseken” alapulva, ami nagy valószínűséggel azt jelenti, hogy korábban senki más nem ismerte őket, ezért soha nem változtatták (és már nem is lehet) nullává. nap lyukak, ami jó hír.

A Linux-felhasználók még nem kaptak említést az e havi közleményekben, de nem világos, hogy ez azért van, mert a hibák egyike sem vonatkozik a Linux kódbázisára, mert a javítások még nincsenek teljesen készen a Linuxra, vagy azért, mert a hibák nem elég fontosnak tartják a Linux-specifikus javítások beszerzéséhez.

A hibatípusok magyarázata

Hogy egy nagyon gyors szószedetet adjunk a fenti fontos hibakategóriákról:

• Puffer túlcsordulás. Ez azt jelenti, hogy a támadó által szolgáltatott adatok egy olyan memóriablokkba kerülnek, amely nem elég nagy a küldött mennyiséghez. Ha a többletadatok a szoftver más részei által már használt memóriaterületre „kikerülnek”, az szándékosan és árulkodóan befolyásolhatja a böngésző működését.
• Típuszavar. Képzelje el, hogy olyan adatokat ad meg, mint például a „termék ára”, amelyeket a böngészőnek egyszerű számként kell kezelnie. Most képzelje el, hogy később ráveheti a böngészőt arra, hogy az imént megadott számot úgy használja, mintha az memóriacím vagy egy szöveges karakterlánc lenne. Valószínűleg nem érvényes memóriacím vagy szöveges karakterlánc egy olyan szám, amely átment az ellenőrzésen, hogy megbizonyosodjon arról, hogy az ár legális, és ezért nem fogadták volna el anélkül, hogy egy másik adattípus leple alatt belopták volna. Az „érvényes-ha-ellenőrzött-de-érvénytelen-használatkor-érvénytelen” adatok betáplálásával a támadó szándékosan felforgathatja a böngésző viselkedését.
• Használat után-mentes. Ez azt jelenti, hogy a böngésző egy része hibásan folytatja a memóriablokk használatát, miután azt visszaadta a rendszernek máshol történő átcsoportosítás céljából. Ennek eredményeként a biztonsági szempontból már ellenőrzött adatok (azzal a kóddal, amely azt feltételezi, hogy „tulajdonolja” az érintett memóriát) lopva módosulhatnak közvetlenül a használat előtt, így árulkodóan befolyásolva a böngésző viselkedését.

Mit kell tenni?

A Chrome valószínűleg frissíti magát, de mindig javasoljuk, hogy ellenőrizze.

Windows és Mac rendszeren használja Több > Segítség > A Google Chrome > Frissítse a Google Chrome-ot.

Androidon ellenőrizze, hogy a Play Áruház alkalmazásai naprakészek-e.

A frissítés után a verziót keresi 102.0.5005.148 ha a „kiterjesztett stabil” kiadást használja; 103.0.5060.114 ha a „stabil” pályán vagy; és 103.0.5060.71 Android.

Linuxon nem tudjuk, melyik verziószámra figyeljünk, de ezt is megteheti Segítség > Rólunk > Frissítések mindenesetre a biztonsági táncot, hogy biztosan a legfrissebb verzióval rendelkezzen.