(Attēla kredīts: nākotne)
Google ir izlaidusi vēl vienu drošības atjauninājumu pārlūkprogrammas Chrome darbvirsmas versijai operētājsistēmās Windows, Mac un Linux, kas ir ceturtais šāds atjauninājums pēdējo trīs nedēļu laikā.
Jaunā Chrome versija un tās Chromium atvērtā pirmkoda pamati ir apzīmēti 90.0.4430.85 un tika atbrīvots vakar vēlu (20. aprīlī). Tas izlabo septiņus drošības trūkumus, tostarp vienu 'nulles dienas' (sava veida) trūkumu, kas tika atklāts savvaļā, pirms Google bija iespēja to pilnībā aizlāpīt.
- Pārlūkā Chrome un Edge uzlauzts jauns nulles dienas defekts — ko darīt
- The labākie interneta drošības komplekti lai aizsargātu jūsu Mac vai PC
- Kiberpirmdienas piedāvājumi: skatiet visus labākos piedāvājumus tieši tagad!
- 4/20: 90.0.4430.85
- 4/14: 90.0.4430.72
- 4/13: 89.0.4389.128
- 3/30: 89.0.4389.114
- 3/12: 89.0.4389.90
- 5/3: 89.0.4389.82
- 3/02: 89.0.4389.72
Šķiet, ka šī ievainojamība, kas izrādījās ne gluži nulles dienas trūkums, ir tāda pati, kas tika atklāta Twitter pagājušās nedēļas vidū, pretstatā citai nulles dienas trūkumam, kas tika publicēts Twitter pagājušās nedēļas sākums.
kā skatīties vingrošanu tiešraidē
Kā atjaunināt Chrome
Pārlūka Chrome atjaunināšana operētājsistēmā Windows vai Mac ir vienkārša. Pārlūkprogramma automātiski atjaunināsies, kad tā tiek palaista, tāpēc varat to vienkārši aizvērt un pēc tam atkārtoti palaist, lai aktivizētu šo procesu. Operētājsistēmā Linux, visticamāk, būs jāgaida nākamā izplatīšanas atjauninājumu pakete.
Lai pārliecinātos, ka pārlūks Chrome ir atjaunināts, noklikšķiniet uz trim vertikālajiem punktiem pārlūkprogrammas loga augšējā labajā stūrī, pārvietojiet kursoru uz leju uz 'Palīdzība' un parādītajā izvēlnē noklikšķiniet uz 'Par Google Chrome'.
Tiks atvērta jauna cilne. Tas vai nu pateiks, ka jūsu pārlūkprogramma ir atjaunināta, vai arī lejupielādēs jauno versiju, un tādā gadījumā jums būs atkārtoti jāpalaiž pārlūkprogramma.
Dueling kredīti
Google oficiālais Chrome izlaidumu emuārs sniedza saudzīgu informāciju par pieciem ārējiem pētniekiem atklātajiem drošības trūkumiem, ja ne diviem, kas tika atklāti uzņēmumā. Trīs ir saistīti ar problēmām V8 JavaScript dzinējā, ko izmanto pārlūkprogrammā Chromium, tostarp to, kas tika atklāta tiešsaistē pagājušajā nedēļā.
Šim vienam defektam ir piešķirts kataloga numurs CVE-2021-21224, un tas ir aprakstīts kā “V8 tipa neskaidrības” rezultāts. Emuāra ziņojuma autors Srinivas Sista sausi atzīmēja, ka 'Google ir informēts par ziņojumiem, ka CVE-2021-21224 izmantošana savvaļā pastāv', kas parasti ir nulles dienas defekta pazīme.
Par šo atklājumu nopelns (un vēl noteikta kļūdu kompensācija) pienākas Argentīnas drošības pētniekam Hosē Martinesam no VerSprite Inc., kura hakeru rokturis ir “tr0y4”.
Cits cilvēks, ķīniešu pētnieks, kurš sevi dēvē par ' vilšanās ”, 14. aprīlī pakalpojumā Twitter tika ievietota saite uz kodu, kas atvērtu lietojumprogrammu Notepad, ja pārlūkprogrammā Windows operētājsistēmas Chrome ielādētu ļaunprātīgu tīmekļa lapu.
Vakar vakarā vietnē Twitter Martiness paskaidroja, ka 5. aprīlī ir iesniedzis Google kļūdu ziņojumu, ko apstiprina Google emuāra ieraksts.
Martiness sacīja, ka Google novērsa problēmu atvērtā pirmkoda V8 dzinējā 12. aprīlī un publiskoja izmaiņas, kas nozīmēja, ka cilvēki, kuriem patīk neapmierinātība, varētu mainīt izmaiņas un pēc tam apgalvot, ka ir atraduši 'nulles dienas' trūkumu.
Redzēt vairāksveiki, haha pareizi, es esmu sākotnējais reportieris. Laika skala: 5. aprīlis: esmu iesniedzis savu kļūdu Google Chrome VRP ziņojumā. 12. aprīlis: esmu iesniedzis savu RCE 0day exploit 12. aprīlis: Google laboja v8 dzinēju, bet arī publicēja regresu/vienības testu 14. aprīlis: cilvēki viralized 1day exploit 2021. gada 20. aprīlis
Tas pats notika ar iepriekšējo V8 kļūdu, ko atklāja divi Eiropas pētnieki, kuri to izmantoja, lai laimētu 100 000 USD. Pwn2Own hakeru konkurss šī mēneša sākumā.
An Indijas pētnieks novēroja turpmākās izmaiņas V8 un paziņoja par savu 'nulles dienas' trūkumu, bet vēlāk atteicās no šīs deklarācijas. Šis trūkums tika izlabots ar Chrome/Chromium versiju 89.0.4389.128 13. aprīlī.
Īsts nulles dienas trūkums ir tāds, par kuru ietekmētās programmatūras izstrādātāji pat nezina, pirms tā parādās savvaļā, tāpēc viņiem tiek dota “nulles dienas”, lai to novērstu, pirms tā kļūst publiska.
Visas šīs uzlaušanas un labošanas rezultātā Chrome un Chromium izstrādātājiem ir bijis aizņemts mēnesis. Šeit ir saraksts ar atjauninājumiem kopš 1. marta:
10 labākās āra drošības kameras
Kā atjaunināt Edge, Brave, Opera un Vivaldi
Vairākas citas labi zināmas pārlūkprogrammas balstās uz Chromium, tostarp Brave, Microsoft Edge, Opera un Vivaldi. Rakstīšanas brīdī (21. aprīlī plkst. 12:45 pēc Ņujorkas laika) Brave joprojām izmantoja iepriekšējo Chromium versiju, Vivaldi atpalika par divām versijām un Opera par trim versijām.
Edge izmanto nedaudz atšķirīgu numerācijas sistēmu, taču tā ir atjaunināta vismaz vienu reizi kopš pēdējā dokumentētā drošības atjauninājuma 16. aprīlī, tāpēc mēs varam pieņemt, ka Edge ir atjaunināta.
Edge vai Brave atjaunināšana ir līdzīga pārlūka Chrome atjaunināšanai. Noklikšķiniet uz iestatījumu ikonas pārlūkprogrammas loga augšējā labajā stūrī un ritiniet uz leju, meklējot izvēlnes apakšdaļā vai tās tuvumā kaut ko ar atzīmi “Par”. “Par” var būt paslēpts arī izlaižamajā izvēlnē “Palīdzība”.
Operētājsistēmā Opera un Vivaldi sāciet, noklikšķinot uz pārlūkprogrammas ikonas loga augšējā kreisajā stūrī, pēc tam ritiniet uz leju līdz sadaļai 'Palīdzība' un izlaižamajā izvēlnē noklikšķiniet uz 'Par'.
Tāpat kā pārlūkā Chrome, cilnē Par tiks izveidota jauna cilne, kas pārbaudīs un instalēs visus pieejamos atjauninājumus.
