Cel mai recent browser Chrome de la Google, Versiunea 105, este disponibil, deși numărul complet al versiunii este enervant de diferit, în funcție de dacă sunteți pe Windows, Mac sau Linux.
Pe sisteme asemănătoare Unix (Mac și Linux), doriți 105.0.5195.52, dar pe Windows, cauți 105.0.5195.54.
Potrivit Google, această nouă versiune include 24 de remedieri de securitate, deși niciuna dintre ele nu este raportată ca „în sălbăticie”, ceea ce înseamnă că de data aceasta nu au fost corectate zero-days.
Cu toate acestea, există o vulnerabilitate numită Critic, și alte opt evaluate Înalt.
Dintre defectele care au fost remediate, puțin peste jumătate dintre ele se datorează gestionării defectuoase a memoriei, nouă fiind enumerate ca utilizare-după-gratuit bug-uri, și patru ca buffer-ul heap se depășește.
Tipuri de erori de memorie explicate
A utilizare-după-gratuit este exact ceea ce spune: returnați memoria pentru a o elibera pentru o altă parte a programului, dar continuați să o utilizați oricum, interferând astfel cu funcționarea corectă a aplicației dvs.
Imaginați-vă, de exemplu, că partea din program care crede că are acum acces exclusiv la blocul de memorie ofensator primește o intrare neîncrezătoare și verifică cu atenție dacă noile date sunt sigure de utilizat...
… dar apoi, în clipa dinainte de a începe să folosească acea intrare validată, codul tău „utilizare după eliberare” intervine și injectează date nesigure și nesigure în aceeași parte a memoriei.
Dintr-o dată, codul fără erori în altă parte a programului se comportă ca și cum ar fi greșit în sine, datorită defectului din codul tău care tocmai a invalidat ceea ce era în memorie.
Atacatorii care pot găsi o modalitate de a manipula momentul intervenției neașteptate a codului dvs. pot fi capabili nu numai să blocheze programul după bunul plac, ci și să-i strice controlul, provocând astfel ceea ce este cunoscut sub numele de executarea codului de la distanță.
Și a depășirea bufferului heap se referă la o eroare în care scrieți mai multe date în memorie decât vor încăpea în spațiul care vi s-a alocat inițial. (movilă este termenul de jargon pentru colecția de blocuri de memorie care sunt gestionate în prezent de sistem.)
Dacă o altă parte a programului are un bloc de memorie se întâmplă să fie aproape sau lângă al tău în grămada, atunci datele superflue pe care tocmai le-ai scris nu se vor revărsa inofensiv în spațiul nefolosit.
În schimb, va corupe datele care sunt în uz activ în altă parte, ceea ce are consecințe similare cu ceea ce tocmai am descris pentru o eroare de utilizare după liberă.
Sistemul „Dezinfectant”.
Din fericire, pe lângă remedierea erorilor care nu ar fi trebuit să existe deloc, Google a anunțat sosirea unei noi funcții care adaugă protecție împotriva unei clase de defecte ale browserului cunoscută ca scripturi cross-site (XSS).
Erorile XSS sunt cauzate de browserul care inserează date nesigure, să zicem dintr-un formular web trimis de un utilizator la distanță, direct în pagina web curentă, fără a verifica (și a elimina) mai întâi conținut riscant.
Imaginați-vă, de exemplu, că aveți o pagină web care oferă să-mi arate cum arată un șir de text la alegerea mea în noul font funky.
Dacă introduc exemplul de text Cwm fjord bank glyphs vext quiz (o combinație inventată, dar vag semnificativă de engleză și galeză, care conține toate cele 26 de litere ale alfabetului în doar 26 de litere, în cazul în care vă întrebați), atunci este sigur să puneți acel text exact în pagina web pe care o creați.
În JavaScript, de exemplu, puteți rescrie corpul paginii web astfel, inserând textul pe care l-am furnizat fără nicio modificare:
document.body.innerHTML = " Cwm fjord bank glife test vext"
Dar dacă am înșelat și ți-am cerut să „afișezi” șirul de text Cwm fjord<script>alert(42)</script> în schimb, atunci ar fi nesăbuit să faci asta...
document.body.innerHTML = " fiordul Cwm alert(42) "
… pentru că mi-ați permite să injectez cod JavaScript neîncrezător al my alegând direct în ta pagina web, unde codul meu ar putea citi cookie-urile și accesa date care altfel ar fi interzise.
Deci, pentru a face ceea ce este cunoscut ca igienizarea intrărilor tale mai ușor, Chrome a activat acum oficial suportul pentru o nouă funcție de browser numită setHTML().
Acesta poate fi folosit pentru a împinge conținut HTML nou printr-o funcție numită Sanitizer mai întâi, astfel încât dacă utilizați acest cod în schimb...
document.body.setHTML(" fiordul Cwm alert(42) ")
… apoi Chrome va scana mai întâi noul șir HTML propus pentru probleme de securitate și va elimina automat orice text care ar putea prezenta un risc.
Puteți vedea acest lucru în acțiune prin intermediul Instrumente de dezvoltare prin rularea celor de mai sus setHTML() cod la Consoleze prompt și apoi preluând HTML-ul real care a fost injectat în document.body variabilă, așa cum am făcut aici:
Chiar dacă am pus în mod explicit a <script> eticheta în intrarea pe care am trecut-o către setHTML() funcția, codul de script a fost șters automat din rezultatul care a fost creat.
Dacă într-adevăr trebuie să adăugați text potențial periculos într-un element HTML, puteți adăuga un al doilea argument la setHTML() funcție care specifică diferite tipuri de conținut riscant de blocat sau permis.
În mod implicit, dacă acest al doilea argument este omis ca mai sus, atunci Sanitizer-ul funcționează la nivelul său maxim de securitate și șterge automat tot conținutul periculos despre care știe.
Ce să fac?
- Dacă sunteți utilizator Chrome. Verificați dacă sunteți la curent făcând clic Trei puncte > Ajutor > Despre Google Chrome, sau navigând la adresa URL specială
chrome://settings/help. - Dacă ești programator web. Aflați despre nou
SanitizerșisetHTML()funcţionalitate prin citire sfaturi de la Google si Documente Web MDN.
Apropo, dacă ești pe Firefox, Sanitizer este disponibil, dar nu este încă activat implicit. Îl puteți activa pentru a afla mai multe despre el accesând about:config și comutarea între dom.security.sanitizer.enabled opțiunea pentru true.
- blockchain
- tampon de depășire
- Chrome
- coingenius
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Google Chrome
- Kaspersky
- malware
- McAfee
- Securitate goală
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- dezinfectant
- utilizare-după-gratuit
- VPN
- vulnerabilitate
- securitatea site-ului
- XSS
- zephyrnet
![S3 Ep115: Povești cu crime adevărate – O zi din viața unui luptător împotriva criminalității cibernetice [Audio + Text] PlatoBlockchain Data Intelligence. Căutare verticală. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Povești cu crime adevărate – O zi din viața unui luptător împotriva criminalității cibernetice [Audio + Text]")
