גוגל מתקנת "בטבע" כרום אפס יום - עדכן עכשיו!

חותמת זמן: 5 ביולי 2022 2:55
צומת המקור: 1579294

by
פול דוקלין

העדכון האחרון של גוגל לדפדפן Chrome מתקן מספר משתנה של באגים, תלוי אם אתה פועל אנדרואיד, חלונות או מק, ובהתאם אם אתה מפעיל את "הערוץ היציב" או את "ערוץ יציב מורחב

אל תדאג אם אתה מוצא את שלל הפוסטים בבלוג של גוגל מבלבלים...

...גם אנחנו עשינו זאת, אז ניסינו להמציא סיכום הכל-באחד למטה.

השמיים ערוץ יציב היא הגרסה העדכנית ביותר, כולל כל תכונות הדפדפן החדשות, הממוספרות כעת כרום 103.

השמיים ערוץ יציב מורחב מזהה את עצמו כ כרום 102, ואין לו את התכונות העדכניות ביותר, אך יש לו את תיקוני האבטחה האחרונים.

שלושה באגים עם מספרי CVE מפורטים על פני שלושת העלונים המפורטים לעיל:

  • CVE-2022-2294: הצפת מאגר ב-WebRTC. חור של אפס יום, שכבר ידוע לאחוות פשעי הסייבר ומנוצל באופן פעיל בטבע. באג זה מופיע בכל הגרסאות המפורטות לעיל: אנדרואיד, Windows ו-Mac, בטעמים "יציב" ו"יציב מורחב". WebRTC הוא קיצור של "תקשורת בזמן אמת באינטרנט", המשמשת שירותי שיתוף אודיו ווידאו רבים שבהם אתה משתמש, כגון אלה עבור פגישות מרחוק, סמינרים מקוונים ושיחות טלפון מקוונות.
  • CVE-2022-2295: סוג בלבול ב-V8. המונח V8 הכוונה למנוע JavaScript של גוגל, המשמש את כל אתר הכולל קוד JavaScript, שבשנת 2022 הוא כמעט כל אתר בחוץ. הבאג הזה מופיע באנדרואיד, Windows ו-Mac, אך ככל הנראה בטעם Chrome 103 ("ערוץ יציב") בלבד.
  • CVE-2022-2296: שימוש-לאחר-חינם ב-Chrome OS Shell. זה רשום כמתייחס ל"ערוץ היציב" ב-Windows וב-Mac, אם כי מעטפת מערכת ההפעלה של Chrome היא, כפי שהשם מרמז, חלק מ מערכת ההפעלה של Chrome, שאינו מבוסס על Windows או Mac.

בנוסף, גוגל תיקנה נגד חבורה של באגים שאינם ממוספרים CVE המסומנים יחד עם מזהה באג 1341569.

התיקונים הללו מספקים שלל תיקונים יזומים המבוססים על "ביקורות פנימיות, טשטוש ויוזמות אחרות", מה שאומר שהם לא היו ידועים קודם לכן לאף אחד אחר, ולכן אף פעם לא (וכבר לא ניתן) להפוך אותם לאפס- חורים ביום, אלו חדשות טובות.

למשתמשי לינוקס עדיין לא היה אזכור בעלוני החודש, אבל לא ברור אם זה בגלל שאף אחד מהבאגים האלה לא חל על בסיס הקוד של לינוקס, בגלל שהתיקונים עדיין לא לגמרי מוכנים ללינוקס, או בגלל שהבאגים לא. נחשב חשוב מספיק כדי לקבל תיקונים ספציפיים ללינוקס.

הסבירו סוגי באגים

כדי לתת לך מילון מונחים מהיר מאוד של קטגוריות הבאגים החשובות למעלה:

  • הצפת מאגר. המשמעות היא שהנתונים שסופקו על ידי תוקף נזרקים לגוש זיכרון שאינו גדול מספיק עבור הכמות שנשלחה. אם הנתונים הנוספים בסופו של דבר "נשפכים" לשטח הזיכרון שכבר נעשה בו שימוש על ידי חלקים אחרים של התוכנה, זה עלול (או במקרה זה, כן) להשפיע באופן מכוון ובוגדני על התנהגות הדפדפן.
  • סוג בלבול. תארו לעצמכם שאתם מספקים נתונים כמו "מחיר המוצר" שהדפדפן אמור להתייחס אליו כמספר פשוט. כעת תאר לעצמך שבהמשך תוכל להערים על הדפדפן להשתמש במספר שסיפקת זה עתה כאילו הוא כתובת זיכרון או מחרוזת טקסט במקום זאת. מספר שעבר את הבדיקה כדי לוודא שמדובר במחיר חוקי כנראה אינו כתובת זיכרון חוקית או מחרוזת טקסט חוקית, ולכן לא היה מתקבל ללא התחבולה להגניב אותו במסווה של סוג נתונים אחר. על ידי הזנת נתונים שהם "תקפים-כאשר בודקים-אבל-לא חוקיים-בשימוש", תוקף יכול לשנות בכוונה את התנהגות הדפדפן.
  • שימוש-ללא לאחר. משמעות הדבר היא שחלק אחד של הדפדפן ממשיך להשתמש בגוש זיכרון באופן שגוי לאחר שהוא נמסר חזרה למערכת לצורך הקצאה מחדש במקום אחר. כתוצאה מכך, נתונים שכבר נבדקו לבטיחות (על ידי הקוד שמניח שהם "בעלים" של הזיכרון הנוגע בדבר) עלולים בסופו של דבר להשתנות בצורה ערמומית רגע לפני שהם מתרגלים, ובכך להשפיע בצורה בוגדנית על התנהגות הדפדפן.

מה לעשות?

Chrome כנראה יעדכן את עצמו, אבל אנחנו תמיד ממליצים לבדוק בכל זאת.

ב-Windows וב-Mac, השתמש עוד > עֶזרָה > אודות Google Chrome > עדכן את Google Chrome.

ב-Android, בדוק שהאפליקציות שלך בחנות Play מעודכנות.

לאחר העדכון, אתה מחפש גרסה 102.0.5005.148 אם אתה בגרסה "יציבה מורחבת"; 103.0.5060.114 אם אתה במסלול ה"יציב"; ו 103.0.5060.71 על אנדרואיד.

ב-Linux, אנחנו לא בטוחים מה מספר הגרסה שצריך לשים לב אליו, אבל כדאי לעשות זאת עֶזרָה > אודות > עדכון ריקוד אבטחה בכל מקרה, כדי להבטיח שיש לך את הגרסה העדכנית ביותר הזמינה עכשיו.

בול זמן:

עוד מ ביטחון עירום