A Google legújabb frissítése Chrome böngésző megjelent, és a négy részből álló verziószám ráütközik 104.0.5112.101 (Mac és Linux), vagy arra 104.0.5112.102 (Ablakok).
A Google szerint az új verzió 11 biztonsági javítást tartalmaz, amelyek közül az egyik a következő megjegyzéssel van ellátva: „A sérülékenység kihasználása létezik a vadonban”, nulladik napi lyukká téve.
A nulladik nap elnevezés arra emlékeztet, hogy voltak nulla napok, amikor még a legtájékozottabb és legproaktívabb felhasználót vagy rendszergazdát is megelőzhették volna a Rosszfiúk előtt.
Frissítse a részleteket
A frissítésekkel kapcsolatos részletek csekélyek, tekintve, hogy a Google manapság sok más gyártóhoz hasonlóan korlátozza a hozzáférést a hiba részleteihez. „amíg a felhasználók többsége nem frissít egy javítást”.
De a Googleé közlöny kiadása kifejezetten felsorolja a 10 hibából 11-et, az alábbiak szerint:
- CVE-2022-2852: Ingyenes használat után a FedCM-ben.
- CVE-2022-2854: Ingyenes használat után a SwiftShaderben.
- CVE-2022-2855: Használja a szabad után SZÖGben.
- CVE-2022-2857: Ingyenes használat után a Blinkben.
- CVE-2022-2858: Ingyenes használat után a bejelentkezési folyamatban.
- CVE-2022-2853: A kupac puffer túlcsordulása a Letöltésekben.
- CVE-2022-2856: Az Intents nem megbízható bemenetének érvényesítése elégtelen. (Nulladik nap.)
- CVE-2022-2859: Ingyenes használat után a Chrome OS Shellben.
- CVE-2022-2860: A Cookie-k nem megfelelően érvényesítik a szabályzatot.
- CVE-2022-2861: Nem megfelelő megvalósítás az Extensions API-ban.
Amint látható, ezek közül hét hibát a memória helytelen kezelése okozta.
A utólagos használat A sebezhetőség azt jelenti, hogy a Chrome egyik része visszaadott egy memóriablokkot, amelyet nem tervezett többé használni, hogy át lehessen osztani a szoftverben máshol történő felhasználásra…
…csak azt, hogy továbbra is használja ezt a memóriát, ami azt eredményezheti, hogy a Chrome egy része olyan adatokra támaszkodik, amelyekről úgy gondolta, hogy megbízik, anélkül, hogy észrevenné, hogy a szoftver egy másik része továbbra is manipulálhatja ezeket az adatokat.
Az ilyen jellegű hibák gyakran a szoftver teljes összeomlását okozzák, mivel helyrehozhatatlan módon összezavarják a számításokat vagy a memóriahozzáférést.
Néha azonban az utánhasználat nélküli hibákat szándékosan indíthatják el annak érdekében, hogy a szoftvert rosszul irányítsák (például egy biztonsági ellenőrzés kihagyásával vagy a rossz bemeneti adatblokkban bízva), és jogosulatlan viselkedést váltson ki.
A kupac puffer túlcsordulás azt jelenti, hogy kérünk egy memóriablokkot, de több adatot írunk ki, mint amennyi biztonságosan elfér benne.
Ez túlcsordítja a hivatalosan lefoglalt puffert, és felülírja az adatokat a következő memóriablokkban, még akkor is, ha ezt a memóriát a program valamely más része már használja.
A puffertúlcsordulás ezért általában hasonló mellékhatásokat produkál, mint a használat után szabaddá váló hibák: többnyire a sérülékeny program összeomlik; néha azonban a program figyelmeztetés nélkül rávehető nem megbízható kód futtatására.
A nulladik napi lyuk
A nulladik napi hiba CVE-2022 2856- nem több részlettel van bemutatva, mint ahogy fentebb látható: „Az Intents nem megbízható bevitelének ellenőrzése elégtelen.”
Egy Chrome Elszánt egy olyan mechanizmus, amely az alkalmazásokat közvetlenül egy weboldalról indítja el, amelyben a weboldalon lévő adatokat egy külső alkalmazásba táplálják be, amely az adatok feldolgozására indult.
A Google nem közölt semmilyen részletet arról, hogy mely alkalmazásokat, vagy milyen adatokat manipulálhat rosszindulatúan ez a hiba…
…de a veszély meglehetősen nyilvánvalónak tűnik, ha az ismert kizsákmányolás magában foglalja egy helyi alkalmazás csendes táplálását olyan kockázatos adatokkal, amelyeket általában biztonsági okokból blokkolnának.
Mit kell tenni?
A Chrome valószínűleg frissíti magát, de mindig javasoljuk, hogy ellenőrizze.
Windows és Mac rendszeren használja Több > Segítség > A Google Chrome > Frissítse a Google Chrome-ot.
Van egy külön kiadási közlemény Chrome iOS-hez, amely verzióra megy 104.0.5112.99, de még nincs olyan közlemény [2022-08-17T12:00Z], amely megemlíti a Chrome Androidra készült verzióját.
iOS rendszeren ellenőrizze, hogy az App Store-beli alkalmazásai naprakészek-e. (Ehhez magát az App Store alkalmazást használja.)
A Google-on megtekintheti az Androiddal kapcsolatos közelgő frissítésekkel kapcsolatos bejelentéseket Chrome kiadások blog
A szabadalmaztatott Chrome böngésző nyílt forráskódú Chromium változata is jelenleg verzióban van 104.0.5112.101.
Microsoft él biztonsági megjegyzések, azonban jelenleg [2022-08-17T12:00Z] azt mondja:
16. augusztus 2022.
A Microsoft tisztában van a vadon élő közelmúltbeli kizsákmányolással. Aktívan dolgozunk egy biztonsági javítás kiadásán, ahogy arról a Chromium csapata beszámolt.
Figyelemmel kísérheti a Microsoft hivatalos Edge-frissítését Edge biztonsági frissítések cimre.
- blockchain
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- tűzfal
- Google Chrome
- Kaspersky
- malware
- McAfee
- Meztelen biztonság
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- VPN
- sebezhetőség
- A honlap biztonsága
- zephyrnet