Najnowsza aktualizacja Google Przeglądarka Chrome jest wyłączony, podbijam czteroczęściowy numer wersji do 104.0.5112.101 (Mac i Linux) lub do 104.0.5112.102 (Windows).
Według Google nowa wersja zawiera 11 poprawek bezpieczeństwa, z których jedna jest opatrzona adnotacją, że „exploit [dla tej luki] istnieje na wolności”, dzięki czemu jest to dziura zero-day.
Nazwa zero-day przypomina, że było zero dni, w których nawet najbardziej dobrze poinformowany i proaktywny użytkownik lub administrator mógł zostać załatany przed Bad Guys.
Zaktualizuj szczegóły
Szczegóły dotyczące aktualizacji są skąpe, biorąc pod uwagę, że Google, podobnie jak wielu innych dostawców w dzisiejszych czasach, ogranicza dostęp do szczegółów błędów „dopóki większość użytkowników nie zostanie zaktualizowana za pomocą poprawki”.
Ale Google wydanie biuletynu wyraźnie wylicza 10 z 11 błędów w następujący sposób:
- CVE-2022-2852: Używaj po bezpłatnym w FedCM.
- CVE-2022-2854: Używaj po bezpłatnym w SwiftShader.
- CVE-2022-2855: Używaj po wolnym w ANGLE.
- CVE-2022-2857: Użyj po wolnym w Blink.
- CVE-2022-2858: Użyj po bezpłatnym w Przepływie logowania.
- CVE-2022-2853: Przepełnienie bufora sterty w plikach do pobrania.
- CVE-2022-2856: Niewystarczająca weryfikacja niezaufanych danych wejściowych w intencjach. (Dzień zerowy.)
- CVE-2022-2859: Używaj po bezpłatnym w powłoce Chrome OS.
- CVE-2022-2860: Niewystarczające egzekwowanie zasad w plikach cookie.
- CVE-2022-2861: Niewłaściwa implementacja w Extensions API.
Jak widać, siedem z tych błędów było spowodowanych niewłaściwym zarządzaniem pamięcią.
A używać po wolnym podatność oznacza, że jedna część Chrome zwróciła blok pamięci, którego nie planowała już używać, aby mogła zostać przeniesiona do użycia w innym miejscu w oprogramowaniu…
… w każdym razie tylko po to, by nadal korzystać z tej pamięci, co potencjalnie może spowodować, że jedna część Chrome będzie polegać na danych, którym może zaufać, nie zdając sobie sprawy, że inna część oprogramowania może nadal manipulować tymi danymi.
Często tego rodzaju błędy powodują całkowite awarie oprogramowania, zakłócając obliczenia lub dostęp do pamięci w niemożliwy do odzyskania sposób.
Czasami jednak błędy typu use-after-free mogą być wywoływane celowo w celu niewłaściwego kierowania oprogramowania tak, aby źle się zachowywało (na przykład przez pominięcie kontroli bezpieczeństwa lub zaufanie do niewłaściwego bloku danych wejściowych) i prowokować nieautoryzowane zachowanie.
A przepełnienie bufora sterty oznacza proszenie o blok pamięci, ale wypisanie większej ilości danych, niż zmieści się w nim bezpiecznie.
Powoduje to przepełnienie oficjalnie przydzielonego bufora i nadpisanie danych w następnym bloku pamięci, nawet jeśli ta pamięć może być już używana przez inną część programu.
Dlatego też przepełnienia bufora zwykle powodują podobne skutki uboczne, co błędy typu use-after-free: najczęściej zagrożony program ulegnie awarii; czasami jednak program może zostać nakłoniony do uruchomienia niezaufanego kodu bez ostrzeżenia.
Dziura zero-day
Błąd dnia zerowego CVE-2022-2856 jest przedstawiony z nie więcej szczegółów niż widać powyżej: „Niewystarczająca weryfikacja niezaufanych danych wejściowych w intencjach”.
Chrome Intencja to mechanizm uruchamiania aplikacji bezpośrednio ze strony internetowej, w którym dane ze strony internetowej są przekazywane do zewnętrznej aplikacji uruchamianej w celu przetworzenia tych danych.
Google nie podało żadnych szczegółów dotyczących tego, które aplikacje lub jakie dane mogą zostać złośliwie zmanipulowane przez ten błąd…
…ale niebezpieczeństwo wydaje się dość oczywiste, jeśli znany exploit polega na cichym zasilaniu lokalnej aplikacji rodzajem ryzykownych danych, które normalnie byłyby blokowane ze względów bezpieczeństwa.
Co robić?
Chrome prawdopodobnie sam się zaktualizuje, ale i tak zawsze zalecamy sprawdzenie.
W systemach Windows i Mac użyj Więcej > Pomoc > Google Chrome > Zaktualizuj Google Chrome.
Istnieje osobny biuletyn informacyjny dla Chrome na iOS, który trafia do wersji 104.0.5112.99, ale nie ma jeszcze biuletynu [2022-08-17T12:00Z], w którym wspomniano o przeglądarce Chrome na Androida.
W systemie iOS sprawdź, czy Twoje aplikacje App Store są aktualne. (W tym celu użyj samej aplikacji App Store.)
Możesz oglądać wszelkie nadchodzące ogłoszenia dotyczące aktualizacji Androida w Google Wersje Chrome blog
Wariant Chromium o otwartym kodzie źródłowym zastrzeżonej przeglądarki Chrome również jest obecnie w wersji 104.0.5112.101.
Microsoft Edge uwagi dotyczące bezpieczeństwa, jednak obecnie [2022-08-17T12:00Z] mówimy:
16 sierpnia 2022 r.
Microsoft jest świadomy niedawnego exploita występującego na wolności. Aktywnie pracujemy nad wydaniem poprawki bezpieczeństwa, zgodnie z raportem zespołu Chromium.
Możesz mieć oko na aktualizację Edge na oficjalnej stronie Microsoft Aktualizacje zabezpieczeń brzegowych strona.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Google Chrome
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- wrażliwość
- zabezpieczenia stron internetowych
- zefirnet
![S3 Odp115: Prawdziwe historie kryminalne – Dzień z życia bojownika o cyberprzestępczość [Audio + tekst] PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3, odc. 115: Prawdziwe historie kryminalne – Dzień z życia osoby walczącej z cyberprzestępczością [audio + tekst]")
![S3 Odcinek 104: Czy osoby atakujące szpitalne oprogramowanie ransomware powinny być zamykane dożywotnio? [Dźwięk + tekst] Inteligencja danych PlatoBlockchain. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Odc104: Czy osoby atakujące ransomware szpitalne powinny być zamknięte na całe życie? [Dźwięk + tekst]")
