Νοημοσύνη δεδομένων Πλάτωνα.
Κάθετη Αναζήτηση & Αι.

Το πρόγραμμα περιήγησης Chrome λαμβάνει 11 διορθώσεις ασφαλείας με 1 zero-day - ενημερώστε τώρα!

Ημερομηνία:

Η πιο πρόσφατη ενημέρωση της Google Πρόγραμμα περιήγησης Chrome έχει βγει, μεταφέροντας τον αριθμό έκδοσης τεσσάρων μερών 104.0.5112.101 (Mac και Linux), ή σε 104.0.5112.102 (Windows).

Σύμφωνα με την Google, η νέα έκδοση περιλαμβάνει 11 επιδιορθώσεις ασφαλείας, μία από τις οποίες σχολιάζεται με την παρατήρηση ότι "Ένα εκμετάλλευση [για αυτήν την ευπάθεια] υπάρχει στην άγρια ​​φύση", καθιστώντας το μια τρύπα μηδενικής ημέρας.

Το όνομα zero-day είναι μια υπενθύμιση ότι υπήρχαν μηδέν ημέρες κατά τις οποίες ακόμη και ο πιο καλά ενημερωμένος και ενεργός χρήστης ή ο sysadmin θα μπορούσε να είχε διορθωθεί πριν από τους Bad Guys.

Ενημέρωση λεπτομερειών

Οι λεπτομέρειες σχετικά με τις ενημερώσεις είναι ελάχιστες, δεδομένου ότι η Google, όπως και πολλοί άλλοι προμηθευτές αυτές τις μέρες, περιορίζει την πρόσβαση σε λεπτομέρειες σφαλμάτων "μέχρι η πλειονότητα των χρηστών να ενημερωθεί με μια επιδιόρθωση".

Αλλά της Google δελτίο κυκλοφορίας απαριθμεί ρητά 10 από τα 11 σφάλματα, ως εξής:

  • CVE-2022-2852: Χρησιμοποιήστε το μετά από δωρεάν στο FedCM.
  • CVE-2022-2854: Χρήση μετά τη δωρεάν χρήση στο SwiftShader.
  • CVE-2022-2855: Χρήση μετά την ελεύθερη σε ANGLE.
  • CVE-2022-2857: Χρησιμοποιήστε το μετά από δωρεάν στο Blink.
  • CVE-2022-2858: Χρησιμοποιήστε το μετά τη δωρεάν ροή εισόδου.
  • CVE-2022-2853: Υπερχείλιση buffer σωρού στις Λήψεις.
  • CVE-2022-2856: Ανεπαρκής επικύρωση μη αξιόπιστης εισαγωγής στο Intent. (Ημέρα μηδέν.)
  • CVE-2022-2859: Χρησιμοποιήστε το δωρεάν στο Chrome OS Shell.
  • CVE-2022-2860: Ανεπαρκής επιβολή πολιτικής στα Cookies.
  • CVE-2022-2861: Ακατάλληλη υλοποίηση στο API επεκτάσεων.

Όπως μπορείτε να δείτε, επτά από αυτά τα σφάλματα προκλήθηκαν από κακή διαχείριση της μνήμης.

A χωρίς χρήση ευπάθεια σημαίνει ότι ένα μέρος του Chrome παρέδωσε πίσω ένα μπλοκ μνήμης που δεν σχεδίαζε να χρησιμοποιήσει πια, έτσι ώστε να μπορεί να ανακατανεμηθεί για χρήση σε άλλο σημείο του λογισμικού…

…μόνο για να συνεχίσει να χρησιμοποιεί αυτή τη μνήμη ούτως ή άλλως, με αποτέλεσμα να προκαλεί δυνητικά ένα μέρος του Chrome να βασίζεται σε δεδομένα που πίστευε ότι μπορούσε να εμπιστευτεί, χωρίς να συνειδητοποιήσει ότι ένα άλλο μέρος του λογισμικού ενδέχεται να εξακολουθεί να παραποιεί αυτά τα δεδομένα.

Συχνά, σφάλματα αυτού του είδους προκαλούν την πλήρη κατάρρευση του λογισμικού, παραβιάζοντας τους υπολογισμούς ή την πρόσβαση στη μνήμη με μη ανακτήσιμο τρόπο.

Μερικές φορές, ωστόσο, μπορεί να προκληθούν σκόπιμα σφάλματα χρήσης μετά τη δωρεάν, προκειμένου να λανθασμένα κατευθύνεται το λογισμικό έτσι ώστε να συμπεριφέρεται λανθασμένα (για παράδειγμα, παραλείποντας έναν έλεγχο ασφαλείας ή εμπιστεύοντας το λάθος μπλοκ δεδομένων εισόδου) και να προκαλέσει μη εξουσιοδοτημένη συμπεριφορά.

A υπερχείλιση buffer σωρού σημαίνει να ζητάς ένα μπλοκ μνήμης, αλλά να γράφεις περισσότερα δεδομένα από όσα χωρούν με ασφάλεια σε αυτό.

Αυτό υπερχειλίζει το επίσημα εκχωρημένο buffer και αντικαθιστά τα δεδομένα στο επόμενο μπλοκ μνήμης κατά μήκος, παρόλο που αυτή η μνήμη μπορεί να χρησιμοποιείται ήδη από κάποιο άλλο μέρος του προγράμματος.

Επομένως, οι υπερχειλίσεις buffer συνήθως παράγουν παρόμοιες παρενέργειες με σφάλματα μετά τη χρήση: ως επί το πλείστον, το ευάλωτο πρόγραμμα θα διακοπεί. Μερικές φορές, ωστόσο, το πρόγραμμα μπορεί να εξαπατηθεί και να εκτελέσει μη αξιόπιστο κώδικα χωρίς προειδοποίηση.

Η τρύπα της μηδενικής ημέρας

Το σφάλμα μηδενικής ημέρας CVE-2022-2856 παρουσιάζεται χωρίς περισσότερες λεπτομέρειες από ό,τι βλέπετε παραπάνω: Ανεπαρκής επικύρωση μη αξιόπιστης εισαγωγής στο Intent.

Ένα Chrome Πρόθεση είναι ένας μηχανισμός για την ενεργοποίηση εφαρμογών απευθείας από μια ιστοσελίδα, στον οποίο τα δεδομένα της ιστοσελίδας τροφοδοτούνται σε μια εξωτερική εφαρμογή που εκκινείται για την επεξεργασία αυτών των δεδομένων.

Η Google δεν έχει παράσχει λεπτομέρειες σχετικά με το ποιες εφαρμογές ή τι είδους δεδομένα θα μπορούσαν να παραποιηθούν κακόβουλα από αυτό το σφάλμα…

…αλλά ο κίνδυνος φαίνεται μάλλον προφανής εάν η γνωστή εκμετάλλευση περιλαμβάνει την αθόρυβη τροφοδοσία μιας τοπικής εφαρμογής με το είδος των επικίνδυνων δεδομένων που κανονικά θα αποκλείονταν για λόγους ασφαλείας.

Τι να κάνω;

Το Chrome πιθανότατα θα ενημερωθεί μόνο του, αλλά συνιστούμε πάντα να το ελέγχετε.

Σε Windows και Mac, χρησιμοποιήστε Περισσότερες > Βοήθεια > Σχετικά με το Google Chrome > Ενημερώστε το Google Chrome.

Υπάρχει ξεχωριστό δελτίο κυκλοφορίας για Chrome για iOS, το οποίο πηγαίνει στην έκδοση 104.0.5112.99, αλλά δεν υπάρχει ακόμη ενημερωτικό δελτίο [2022-08-17T12:00Z] που να αναφέρει το Chrome για Android.

Στο iOS, βεβαιωθείτε ότι οι εφαρμογές σας στο App Store είναι ενημερωμένες. (Χρησιμοποιήστε την ίδια την εφαρμογή App Store για να το κάνετε αυτό.)

Μπορείτε να παρακολουθήσετε οποιαδήποτε επικείμενη ανακοίνωση ενημέρωσης σχετικά με το Android στο Google Κυκλοφορίες Chrome blog

Η παραλλαγή Chromium ανοιχτού κώδικα του ιδιόκτητου προγράμματος περιήγησης Chrome είναι επίσης σε έκδοση 104.0.5112.101.

Η Microsoft Edge σημειώσεις ασφαλείας, ωστόσο, επί του παρόντος [2022-08-17T12:00Z] πείτε:

Αύγουστος 16, 2022

Η Microsoft γνωρίζει την πρόσφατη εκμετάλλευση που υπάρχει στη φύση. Εργαζόμαστε ενεργά για την κυκλοφορία μιας ενημέρωσης κώδικα ασφαλείας όπως αναφέρεται από την ομάδα του Chromium.

Μπορείτε να έχετε το βλέμμα σας για μια ενημέρωση Edge στο επίσημο της Microsoft Ενημερώσεις ασφαλείας Edge .


spot_img

Τελευταία Νοημοσύνη

spot_img