Peramban Chrome terbaru Google, versi 105, sudah keluar, meskipun nomor versi lengkapnya sangat berbeda tergantung pada apakah Anda menggunakan Windows, Mac atau Linux.
Pada sistem mirip Unix (Mac dan Linux), Anda ingin 105.0.5195.52, tetapi di Windows, Anda mencari 105.0.5195.54.
Menurut Google, versi baru ini mencakup 24 perbaikan keamanan, meskipun tidak ada satupun yang dilaporkan sebagai "in-the-wild", yang berarti tidak ada patch zero-days kali ini.
Namun demikian, ada satu kerentanan yang dijuluki Kritis, dan peringkat delapan lainnya High.
Dari kekurangan yang diperbaiki, lebih dari setengahnya disebabkan oleh salah urus memori, dengan sembilan terdaftar sebagai gunakan-setelah-bebas bug, dan empat sebagai buffer tumpukan meluap.
Jenis bug memori dijelaskan
A gunakan-setelah-bebas persis seperti yang dikatakan: Anda mengembalikan memori untuk membebaskannya untuk bagian lain dari program, tetapi tetap menggunakannya, sehingga berpotensi mengganggu operasi aplikasi Anda yang benar.
Bayangkan, misalnya, bagian dari program yang dianggap memiliki akses tunggal ke blok memori yang melanggar menerima beberapa masukan yang tidak dipercaya, dan dengan hati-hati memverifikasi bahwa data baru aman untuk digunakan…
…tetapi kemudian, sesaat sebelum mulai menggunakan input yang divalidasi itu, kode “use-after-free” buggy Anda mengganggu, dan menyuntikkan data basi dan tidak aman ke bagian memori yang sama.
Tiba-tiba, kode bebas bug di tempat lain dalam program berperilaku seolah-olah itu buggy itu sendiri, berkat cacat dalam kode Anda yang baru saja membatalkan apa yang ada di memori.
Penyerang yang dapat menemukan cara untuk memanipulasi waktu intervensi tak terduga kode Anda mungkin tidak hanya dapat merusak program sesuka hati, tetapi juga merebut kendali darinya, sehingga menyebabkan apa yang dikenal sebagai eksekusi kode jarak jauh.
Dan a tumpukan buffer overflow mengacu pada bug di mana Anda menulis lebih banyak data ke memori daripada yang muat di ruang yang awalnya dialokasikan untuk Anda. (tumpukan adalah istilah jargon untuk kumpulan blok memori yang saat ini dikelola oleh sistem.)
Jika beberapa bagian lain dari program memiliki blok memori yang kebetulan berada di dekat atau di sebelah Anda di heap, maka data berlebihan yang baru saja Anda tulis tidak akan meluap tanpa membahayakan ke ruang yang tidak digunakan.
Sebaliknya, itu akan merusak data yang sedang digunakan secara aktif di tempat lain, yang konsekuensinya mirip dengan apa yang baru saja kami jelaskan untuk bug penggunaan setelah bebas.
Sistem "Pembersih"
Untungnya, selain memperbaiki kesalahan fitur yang seharusnya tidak ada sama sekali, Google telah mengumumkan kedatangan fitur baru yang menambah perlindungan terhadap kelas kelemahan browser yang dikenal sebagai skrip lintas situs (XSS).
Bug XSS disebabkan oleh browser yang memasukkan data yang tidak tepercaya, katakanlah dari formulir web yang dikirimkan oleh pengguna jarak jauh, langsung ke halaman web saat ini, tanpa memeriksa (dan menghapus) konten berisiko terlebih dahulu.
Bayangkan, misalnya, Anda memiliki halaman web yang menawarkan untuk menunjukkan kepada saya seperti apa string teks pilihan saya dalam font baru Anda yang funky.
Jika saya mengetikkan contoh teks Cwm fjord bank glyphs vext quiz (gabungan bahasa Inggris dan Welsh yang dibuat-buat tetapi samar-samar bermakna yang berisi semua 26 huruf alfabet hanya dalam 26 huruf, jika Anda bertanya-tanya), maka aman bagi Anda untuk memasukkan teks persis itu ke halaman web yang Anda buat.
Dalam JavaScript, misalnya, Anda dapat menulis ulang isi halaman web seperti ini, memasukkan teks yang saya berikan tanpa modifikasi apa pun:
document.body.innerHTML = " Cwm fjord bank glyphs vext kuis"
Tetapi jika saya curang, dan meminta Anda untuk "menampilkan" string teks Cwm fjord<script>alert(42)</script> sebagai gantinya, maka akan sembrono bagi Anda untuk melakukan ini ...
document.body.innerHTML = " Cwm fjord alert(42) "
…karena Anda akan mengizinkan saya untuk menyuntikkan kode JavaScript yang tidak dapat dipercaya dari my memilih langsung ke Tujuan halaman web, di mana kode saya dapat membaca cookie Anda dan mengakses data yang seharusnya terlarang.
Jadi, untuk membuat apa yang dikenal sebagai membersihkan input Anda lebih mudah, Chrome kini secara resmi mengaktifkan dukungan untuk fungsi browser baru yang disebut setHTML().
Ini dapat digunakan untuk mendorong konten HTML baru melalui fitur yang disebut Sanitizer pertama, sehingga jika Anda menggunakan kode ini sebagai gantinya ...
document.body.setHTML(" Cwm fjord alert(42) ")
…kemudian Chrome akan memindai string HTML baru yang diusulkan untuk masalah keamanan terlebih dahulu, dan secara otomatis menghapus teks apa pun yang dapat menimbulkan risiko.
Anda dapat melihat ini beraksi melalui Alat pengembang dengan menjalankan di atas setHTML() kode di konsul prompt, dan kemudian mengambil HTML sebenarnya yang disuntikkan ke dalam document.body variabel, seperti yang kami lakukan di sini:
Meskipun kami secara eksplisit menempatkan <script> tag di input yang kami berikan ke setHTML() fungsi, kode skrip secara otomatis dihapus dari output yang dibuat.
Jika Anda benar-benar perlu menambahkan teks yang berpotensi berbahaya ke dalam elemen HTML, Anda dapat menambahkan argumen kedua ke setHTML() fungsi yang menentukan berbagai jenis konten berisiko untuk diblokir atau diizinkan.
Secara default, jika argumen kedua ini dihilangkan seperti di atas, maka Sanitizer beroperasi pada tingkat keamanan maksimumnya dan secara otomatis menghapus semua konten berbahaya yang diketahuinya.
Apa yang harus dilakukan?
- Jika Anda pengguna Chrome. Pastikan Anda mendapatkan informasi terbaru dengan mengeklik Tiga titik > Bantuan > Tentang Google Chrome, atau dengan menelusuri URL khusus
chrome://settings/help. - Jika Anda seorang programmer web. Pelajari tentang yang baru
SanitizerdansetHTML()fungsionalitas dengan membaca saran dari Google dan Dokumen Web MDN.
Omong-omong, jika Anda menggunakan Firefox, Sanitizer tersedia, tetapi belum diaktifkan secara default. Anda dapat mengaktifkannya untuk mempelajarinya lebih lanjut dengan membuka about:config dan mengaktifkan dom.security.sanitizer.enabled pilihan untuk true.
- blockchain
- buffer overflow
- Chrome
- kecerdasan
- dompet cryptocurrency
- pertukaran kripto
- keamanan cyber
- penjahat cyber
- Keamanan cyber
- Departemen Keamanan Dalam Negeri
- dompet digital
- firewall
- Google Chrome
- Kaspersky
- malware
- mcafe
- Keamanan Telanjang
- BerikutnyaBLOC
- plato
- plato ai
- Kecerdasan Data Plato
- Permainan Plato
- Data Plato
- permainan plato
- Sanitizer
- gunakan-setelah-bebas
- VPN
- kerentanan
- website security
- XSS
- zephyrnet.dll
![S3 Ep115: Kisah kejahatan nyata – Sehari dalam kehidupan seorang pejuang kejahatan dunia maya [Audio + Teks] PlatoBlockchain Data Intelligence. Pencarian Vertikal. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Kisah kejahatan nyata – Sehari dalam kehidupan pejuang kejahatan dunia maya [Audio + Teks]")
