Den senaste uppdateringen till Googles Chrome-webbläsare är ute och stöter det fyrdelade versionsnumret till 104.0.5112.101 (Mac och Linux), eller till 104.0.5112.102 (Windows).
Enligt Google innehåller den nya versionen 11 säkerhetsfixar, varav en är kommenterad med anmärkningen att "en exploatering [för denna sårbarhet] finns i naturen", vilket gör det till ett nolldagarshål.
Namnet zero-day är en påminnelse om att det fanns noll dagar då även den mest välinformerade och proaktiva användaren eller systemadministratören kunde ha patchats före Bad Guys.
Uppdatera detaljer
Detaljer om uppdateringarna är knapphändiga, eftersom Google, i likhet med många andra leverantörer nuförtiden, begränsar åtkomsten till buggdetaljer "tills en majoritet av användarna är uppdaterade med en fix".
Men Googles släpp bulletinen räknar uttryckligen upp 10 av de 11 felen, enligt följande:
- CVE-2022-2852: Använd after free i FedCM.
- CVE-2022-2854: Använd after free i SwiftShader.
- CVE-2022-2855: Använd after free i ANGLE.
- CVE-2022-2857: Använd after free i Blink.
- CVE-2022-2858: Använd efter gratis i Inloggningsflöde.
- CVE-2022-2853: Hög buffertspill i nedladdningar.
- CVE-2022-2856: Otillräcklig validering av otillförlitlig input i Intents. (Noll dag.)
- CVE-2022-2859: Använd after free i Chrome OS Shell.
- CVE-2022-2860: Otillräcklig policytillämpning i cookies.
- CVE-2022-2861: Olämplig implementering i Extensions API.
Som du kan se orsakades sju av dessa buggar av felaktig minneshantering.
A använd-efter-fri sårbarhet innebär att en del av Chrome lämnade tillbaka ett minnesblock som den inte planerade att använda längre, så att det kunde omfördelas för användning någon annanstans i programvaran...
… bara för att fortsätta använda det minnet ändå, vilket potentiellt kan få en del av Chrome att förlita sig på data som den trodde att den kunde lita på, utan att inse att en annan del av programvaran fortfarande kan manipulera den datan.
Ofta kommer buggar av detta slag att få programvaran att krascha helt, genom att förstöra beräkningar eller minnesåtkomst på ett oåterställbart sätt.
Ibland kan dock buggar utan användning efter fri utlösas avsiktligt för att felrikta programvaran så att den inte beter sig (till exempel genom att hoppa över en säkerhetskontroll eller lita på fel block av indata) och provocerar fram obehörigt beteende.
A hög buffertspill innebär att be om ett minnesblock, men att skriva ut mer data än vad som får plats säkert i det.
Detta svämmar över den officiellt tilldelade bufferten och skriver över data i nästa minnesblock, även om det minnet kanske redan används av någon annan del av programmet.
Buffertspill orsakar därför vanligtvis liknande biverkningar som buggar utan användning efter fri: oftast kommer det sårbara programmet att krascha; ibland kan dock programmet luras att köra otillförlitlig kod utan förvarning.
Nolldagarshålet
Nolldagsbuggan CVE-2022-2856 presenteras inte med mer detaljer än vad du ser ovan: "Otillräcklig validering av otillförlitlig input i Intents."
En Chrome Intent är en mekanism för att trigga appar direkt från en webbsida, där data på webbsidan matas in i en extern app som startas för att bearbeta dessa data.
Google har inte lämnat några detaljer om vilka appar eller vilken typ av data som kan manipuleras av det här felet...
…men faran verkar ganska uppenbar om det kända utnyttjandet innebär att en lokal app tyst matas med den sortens riskabla data som normalt skulle blockeras av säkerhetsskäl.
Vad göra?
Chrome kommer förmodligen att uppdatera sig själv, men vi rekommenderar alltid att du kollar ändå.
På Windows och Mac, använd Snarare > Hjälp > Om Google Chrome > Uppdatera Google Chrome.
Det finns en separat releasebulletin för Chrome för iOS, som går till version 104.0.5112.99, men ingen bulletin ännu [2022-08-17T12:00Z] som nämner Chrome för Android.
På iOS, kontrollera att dina App Store-appar är uppdaterade. (Använd själva App Store-appen för att göra detta.)
Du kan titta efter alla kommande uppdateringsmeddelanden om Android på Googles Chrome släpps blogg
Den öppna källkodsversionen av Chromium av den egenutvecklade Chrome-webbläsaren finns för närvarande också i version 104.0.5112.101.
Microsoft Edge säkerhetsanmärkningar, men för närvarande [2022-08-17T12:00Z] säger:
Augusti 16, 2022
Microsoft är medvetet om den senaste nyttan som finns i naturen. Vi arbetar aktivt med att släppa en säkerhetskorrigering som rapporterats av Chromium-teamet.
Du kan hålla utkik efter en Edge-uppdatering på Microsofts officiella Edge säkerhetsuppdateringar sida.
- blockchain
- coingenius
- cryptocurrency plånböcker
- kryptoväxling
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- Google Chrome
- kaspersky
- malware
- Mcafee
- Naken säkerhet
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- sårbarhet
- webbplats säkerhet
- zephyrnet
![S3 Ep115: True crime stories – En dag i livet för en cyberbrottskämpe [Audio + Text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: True crime stories – En dag i livet för en cyberbrottskämpe [ljud + text]")
![S3 Ep104: Bör sjukhusangripare med ransomware låsas in på livstid? [Ljud + text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/s3-ep104-cover-1200-360x188.png "S3 Ep104: Bör sjukhusangripare med ransomware låsas in på livstid? [Ljud + text]")
