Najnovejša posodobitev za Google Brskalnik Chrome je zunaj, številka različice v štirih delih pa je zamenjana za 104.0.5112.101 (Mac in Linux) ali na 104.0.5112.102 (Windows).
Po navedbah Googla nova različica vključuje 11 varnostnih popravkov, od katerih je eden opremljen z opombo, da "izkoriščanje [za to ranljivost] obstaja v naravi", zaradi česar je luknja nič-dneva.
Ime zero-day je opomnik, da je bilo nič dni, v katerih bi lahko bil tudi najbolj obveščen in proaktiven uporabnik ali sistemski skrbnik popravljen pred Bad Guys.
Posodobite podrobnosti
Podrobnosti o posodobitvah so skope, glede na to, da Google, tako kot mnogi drugi ponudniki danes, omejuje dostop do podrobnosti o napakah "dokler večina uporabnikov ni posodobljena s popravkom".
Ampak Googlove izdaja biltena izrecno našteje 10 od 11 hroščev, kot sledi:
- CVE-2022-2852: Uporabite brezplačno v FedCM.
- CVE-2022-2854: Uporabite brezplačno v SwiftShader.
- CVE-2022-2855: Uporabite brezplačno v ANGLE.
- CVE-2022-2857: Uporabite brezplačno v Blinku.
- CVE-2022-2858: Uporabite brezplačno v toku prijave.
- CVE-2022-2853: Presežek medpomnilnika kopice v prenosi.
- CVE-2022-2856: Nezadostno preverjanje nezaupanja vrednega vnosa v namenih. (Nulti dan.)
- CVE-2022-2859: Brezplačna uporaba v lupini OS Chrome.
- CVE-2022-2860: Nezadostno uveljavljanje pravilnika v piškotkih.
- CVE-2022-2861: Neustrezna implementacija v API-ju za razširitve.
Kot lahko vidite, je sedem od teh napak povzročilo slabo upravljanje pomnilnika.
A uporaba brez uporabe ranljivost pomeni, da je en del Chroma vrnil pomnilniški blok, ki ga ni nameraval več uporabljati, da bi ga lahko prerazporedili za uporabo drugje v programski opremi ...
...samo da bi še naprej uporabljal ta pomnilnik, s čimer bi potencialno povzročil, da se en del Chroma zanaša na podatke, za katere je mislil, da jim lahko zaupa, ne da bi se zavedal, da drug del programske opreme morda še vedno posega v te podatke.
Tovrstne napake pogosto povzročijo, da se programska oprema popolnoma zruši, tako da pokvari izračune ali dostop do pomnilnika na nepopravljiv način.
Včasih pa se lahko namerno sprožijo napake uporabe po brezplačni uporabi, da se programska oprema napačno usmeri, tako da se ne obnaša pravilno (na primer s preskokom varnostnega preverjanja ali zaupanjem napačnemu bloku vhodnih podatkov) in izzove nepooblaščeno vedenje.
A prelivanje medpomnilnika kopice pomeni zahtevati blok pomnilnika, vendar zapisati več podatkov, kot jih je varno vanj.
To prepolni uradno dodeljen medpomnilnik in prepiše podatke v naslednjem bloku pomnilnika, čeprav ta pomnilnik morda že uporablja drug del programa.
Prelivanje medpomnilnika zato običajno povzroči podobne stranske učinke kot hrošči uporabe po brezplačni uporabi: večinoma se bo ranljivi program zrušil; včasih pa je mogoče program brez opozorila preslepiti, da izvaja nezaupljivo kodo.
Luknja ničelnega dne
Napaka ničelnega dne CVE-2022-2856 je predstavljen z nič več podrobnostmi, kot vidite zgoraj: »Nezadostno preverjanje nezaupanja vrednega vnosa v namenih.«
Chrome Intent je mehanizem za proženje aplikacij neposredno s spletne strani, pri katerem se podatki na spletni strani vnesejo v zunanjo aplikacijo, ki se zažene za obdelavo teh podatkov.
Google ni zagotovil nobenih podrobnosti o tem, s katerimi aplikacijami ali vrstami podatkov bi ta hrošč lahko zlonamerno manipuliral ...
...vendar se zdi nevarnost precej očitna, če znano izkoriščanje vključuje tiho dovajanje lokalne aplikacije z vrsto tveganih podatkov, ki bi bili običajno blokirani iz varnostnih razlogov.
Kaj storiti?
Chrome se bo verjetno posodobil sam, vendar vedno priporočamo, da preverite.
V sistemih Windows in Mac uporabite Več > pomaga > O brskalniku Google Chrome > Posodobite Google Chrome.
Obstaja ločen bilten za izdajo Chrome za iOS, ki gre v različico 104.0.5112.99, vendar še ni biltena [2022-08-17T12:00Z], ki omenja Chrome za Android.
V sistemu iOS preverite, ali so vaše aplikacije App Store posodobljene. (Za to uporabite samo aplikacijo App Store.)
Na Googlu lahko spremljate vse prihodnje objave posodobitev za Android Izdaj Chrome blog
Trenutno je v različici tudi odprtokodna različica Chromium lastniškega brskalnika Chrome 104.0.5112.101.
Microsoft Edge varnostne opombe, vendar trenutno [2022-08-17T12:00Z] pravijo:
Avgust 16, 2022
Microsoft se zaveda nedavnega izkoriščanja, ki obstaja v naravi. Kot je sporočila ekipa za Chromium, aktivno delamo na izdaji varnostnega popravka.
Bodite pozorni na posodobitev za Edge na uradni Microsoftovi strani Varnostne posodobitve Edge stran.
- blockchain
- coingenius
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Google Chrome
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- Gola varnost
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- ranljivost
- spletna varnost
- zefirnet
![S3 Ep115: Resnične zločinske zgodbe – Dan v življenju borca proti kibernetskemu kriminalu [zvok + besedilo] PlatoBlockchain Data Intelligence. Navpično iskanje. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Resnične zločinske zgodbe – Dan v življenju borca proti kibernetskemu kriminalu [zvok + besedilo]")
![S3 Ep104: Ali naj bodo napadalci bolnišnične izsiljevalske programske opreme doživljenjsko zaprti? [Avdio + besedilo] PlatoBlockchain Data Intelligence. Navpično iskanje. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: Ali naj bodo napadalci bolnišnične izsiljevalske programske opreme doživljenjsko zaprti? [Avdio + besedilo]")
