Cea mai recentă actualizare pentru Google Chrome browser este scos, ridicând numărul versiunii din patru părți la 104.0.5112.101 (Mac și Linux) sau către 104.0.5112.102 (Windows).
Potrivit Google, noua versiune include 11 remedieri de securitate, dintre care una este adnotată cu observația că „o exploatare [pentru această vulnerabilitate] există în sălbăticie”, făcându-l o gaură de zi zero.
Numele zero-day este o reamintire a faptului că au existat zero zile în care chiar și cel mai bine informat și mai proactiv utilizator sau administrator de sistem ar fi putut fi corectat înaintea Băieților Rău.
Actualizați detaliile
Detaliile despre actualizări sunt puține, având în vedere că Google, în comun cu mulți alți furnizori în aceste zile, restricționează accesul la detaliile despre erori. „până când majoritatea utilizatorilor sunt actualizați cu o remediere”.
Dar de la Google buletin de lansare enumeră în mod explicit 10 dintre cele 11 erori, după cum urmează:
- CVE-2022-2852: Utilizați după gratuit în FedCM.
- CVE-2022-2854: Utilizați după gratuit în SwiftShader.
- CVE-2022-2855: Utilizați după gratuit în ANGLE.
- CVE-2022-2857: Utilizați după gratuit în Blink.
- CVE-2022-2858: Utilizați gratuit în fluxul de conectare.
- CVE-2022-2853: Depășirea memoriei tampon în Descărcări.
- CVE-2022-2856: Validarea insuficientă a intrărilor nesigure în Intenții. (Zero-zi.)
- CVE-2022-2859: Utilizați după gratuit în Chrome OS Shell.
- CVE-2022-2860: Implementarea insuficientă a politicii în cookie-uri.
- CVE-2022-2861: Implementare inadecvată în API-ul Extensions.
După cum puteți vedea, șapte dintre aceste erori au fost cauzate de gestionarea greșită a memoriei.
A utilizare-după-gratuit vulnerabilitatea înseamnă că o parte a Chrome a predat un bloc de memorie pe care nu intenționa să îl mai folosească, astfel încât să poată fi realocat pentru a fi utilizat în altă parte a software-ului...
… pentru a continua oricum să utilizeze acea memorie, determinând astfel o parte a Chrome să se bazeze pe date în care credea că ar putea avea încredere, fără să realizeze că o altă parte a software-ului ar putea încă modifica acele date.
Adesea, erorile de acest fel vor face ca software-ul să se prăbușească complet, încurcând calculele sau accesul la memorie într-un mod irecuperabil.
Uneori, totuși, erorile de utilizare după liberă pot fi declanșate în mod deliberat pentru a direcționa greșit software-ul, astfel încât acesta să se comporte greșit (de exemplu, omiterea unei verificări de securitate sau încrederea în blocul greșit de date de intrare) și să provoace un comportament neautorizat.
A depășirea bufferului heap înseamnă să cereți un bloc de memorie, dar să scrieți mai multe date decât vor încăpea în siguranță în el.
Acest lucru depășește tamponul alocat oficial și suprascrie datele din următorul bloc de memorie, chiar dacă acea memorie ar putea fi deja utilizată de o altă parte a programului.
Prin urmare, depășirile de buffer produc de obicei efecte secundare similare cu erorile de utilizare după eliberare: de cele mai multe ori, programul vulnerabil se va prăbuși; uneori, totuși, programul poate fi păcălit să ruleze cod neîncrezat fără avertisment.
Gaura de zi zero
Bug-ul zero-day CVE-2022-2856 este prezentat fără mai multe detalii decât vedeți mai sus: „Validare insuficientă a intrărilor nesigure în Intents.”
Un Chrome Scop este un mecanism pentru declanșarea aplicațiilor direct de pe o pagină web, în care datele de pe pagina web sunt introduse într-o aplicație externă care este lansată pentru a procesa datele respective.
Google nu a oferit detalii despre ce aplicații sau ce fel de date ar putea fi manipulate rău intenționat de această eroare...
… dar pericolul pare destul de evident dacă exploatarea cunoscută implică alimentarea în tăcere a unei aplicații locale cu tipul de date riscante care ar fi în mod normal blocate din motive de securitate.
Ce să fac?
Chrome se va actualiza probabil de la sine, dar vă recomandăm întotdeauna să verificați oricum.
Pe Windows și Mac, utilizați Mai Mult > Ajutor > Despre Google Chrome > Actualizați Google Chrome.
Există un buletin de lansare separat pentru Chrome pentru iOS, care merge la versiune 104.0.5112.99, dar încă nu există un buletin [2022-08-17T12:00Z] care să menționeze Chrome pentru Android.
Pe iOS, verificați dacă aplicațiile din App Store sunt actualizate. (Folosiți aplicația App Store în sine pentru a face acest lucru.)
Puteți urmări orice anunț de actualizare viitoare despre Android pe Google Lansările Chrome blogul
Varianta open-source Chromium a browserului proprietar Chrome este, de asemenea, în versiune 104.0.5112.101.
Microsoft Edge note de securitate, cu toate acestea, în prezent [2022-08-17T12:00Z] spune:
August 16, 2022
Microsoft este conștient de exploatarea recentă existentă în sălbăticie. Lucrăm activ la lansarea unui patch de securitate, după cum a raportat echipa Chromium.
Puteți fi cu ochii pe o actualizare Edge pe oficialul Microsoft Actualizări de securitate Edge .
- blockchain
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Google Chrome
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- vulnerabilitate
- securitatea site-ului
- zephyrnet
![S3 Ep96: Zoom 0-day, scurgere AEPIC, recompensa Conti, securitate medicală [Audio + Text] PlatoBlockchain Data Intelligence. Căutare verticală. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep96: Zoom 0-day, scurgere AEPIC, recompensa Conti, securitate medicală [Audio + Text]")
![S3 Ep115: Povești cu crime adevărate – O zi din viața unui luptător împotriva criminalității cibernetice [Audio + Text] PlatoBlockchain Data Intelligence. Căutare verticală. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Povești cu crime adevărate – O zi din viața unui luptător împotriva criminalității cibernetice [Audio + Text]")
