Naujausias „Google“ atnaujinimas Chrome naršyklė išleidžiamas, pakeičiant keturių dalių versijos numerį 104.0.5112.101 („Mac“ ir „Linux“) arba į 104.0.5112.102 („Windows“).
„Google“ teigimu, naujoje versijoje yra 11 saugos pataisymų, iš kurių vienas yra pažymėtas pastaba, kad “išnaudojimas [for this vulnerability] egzistuoja laukinėje gamtoje”todėl tai yra nulinės dienos skylė.
Pavadinimas zero-day primena, kad buvo nulis dienų, kai net labiausiai informuotas ir iniciatyviausias vartotojas ar sistemos administratorius galėjo būti pataisytas prieš blogus vyrus.
Atnaujinkite informaciją
Išsamios informacijos apie atnaujinimus yra nedaug, nes „Google“, kaip ir daugelis kitų šių dienų pardavėjų, riboja prieigą prie išsamios informacijos apie klaidas. “kol dauguma vartotojų nebus atnaujinami su pataisymu”.
Bet Google išleidimo biuletenį aiškiai išvardija 10 iš 11 klaidų taip:
- CVE-2022-2852: Nemokamai naudokite FedCM.
- CVE-2022-2854: Naudokite nemokamai SwiftShader.
- CVE-2022-2855: Naudoti po to nemokamai.
- CVE-2022-2857: Naudokite po nemokamo Blink.
- CVE-2022-2858: Naudokite po nemokamo prisijungimo srauto.
- CVE-2022-2853: Krūvos buferio perpildymas skiltyje Atsisiuntimai.
- CVE-2022-2856: Nepakankamas nepatikimos įvesties patvirtinimas „Intents“. (Nulinė diena.)
- CVE-2022-2859: Nemokamai naudokite „Chrome OS Shell“.
- CVE-2022-2860: Nepakankamas slapukų politikos vykdymas.
- CVE-2022-2861: Netinkamas plėtinių API diegimas.
Kaip matote, septynias iš šių klaidų sukėlė netinkamas atminties valdymas.
arba naudoti po nemokamai pažeidžiamumas reiškia, kad viena „Chrome“ dalis grąžino atminties bloką, kurio daugiau nebeplanavo naudoti, kad jį būtų galima perskirstyti naudoti kitur programinės įrangos…
…tik ir toliau naudoti tą atmintį, todėl viena „Chrome“ dalis gali pasikliauti duomenimis, kuriais, jos manymu, gali pasitikėti, nesuvokdama, kad kita programinės įrangos dalis vis tiek gali klastoti tuos duomenis.
Dažnai dėl tokio pobūdžio klaidų programinė įranga visiškai sugenda, nes tai neatkuriamai sujaukia skaičiavimus ar prieigą prie atminties.
Tačiau kartais gali būti sąmoningai suaktyvintos nenaudojamos klaidos, siekiant neteisingai nukreipti programinę įrangą taip, kad ji netinkamai veiktų (pavyzdžiui, praleidžiama saugos patikra arba pasitikima netinkamu įvesties duomenų bloku) ir išprovokuoja neteisėtą elgesį.
arba krūvos buferio perpildymas reiškia prašyti atminties bloko, bet įrašyti daugiau duomenų, nei saugiai tilps.
Tai perpildo oficialiai skirtą buferį ir perrašo duomenis kitame atminties bloke, net jei tą atmintį jau gali naudoti kuri nors kita programos dalis.
Todėl buferio perpildymas paprastai sukelia panašų šalutinį poveikį kaip ir nenaudojamų klaidų: dažniausiai pažeidžiama programa sugenda; Tačiau kartais programa gali būti apgaule be įspėjimo paleisti nepatikimą kodą.
Nulinės dienos skylė
Nulinės dienos klaida CVE-2022-2856 pateikiama ne daugiau nei matote aukščiau: „Nepakankamas nepatikimos įvesties patvirtinimas „Intents“.
Arba Chrome Tikslas yra mechanizmas, skirtas programoms paleisti tiesiai iš tinklalapio, kai tinklalapio duomenys įvedami į išorinę programą, kuri paleista apdoroti tuos duomenis.
„Google“ nepateikė jokios informacijos apie tai, kokias programas ar kokius duomenis gali piktybiškai manipuliuoti ši klaida…
…tačiau pavojus atrodo gana akivaizdus, jei žinomas išnaudojimas apima tylų vietinės programos tiekimą tokiais rizikingais duomenimis, kurie paprastai būtų blokuojami dėl saugumo priežasčių.
Ką daryti?
Tikriausiai „Chrome“ atnaujins save, bet visada rekomenduojame patikrinti.
„Windows“ ir „Mac“ naudokite Moree > Pagalba > Apie Google Chrome > Atnaujinkite „Google Chrome“..
Yra atskiras išleidimo biuletenis „Chrome“, skirta „iOS“.kuri pereina į versiją 104.0.5112.99bet biuletenio dar nėra [2022-08-17T12:00Z] kuriame minima „Chrome“, skirta „Android“.
Jei naudojate „iOS“, patikrinkite, ar „App Store“ programos yra atnaujintos. (Norėdami tai padaryti, naudokite pačią „App Store“ programą.)
Galite žiūrėti visus būsimus „Android“ naujinimų pranešimus „Google“. „Chrome“ leidimai dienoraštį
Patentuotos „Chrome“ naršyklės atvirojo kodo „Chromium“ variantas šiuo metu taip pat yra versija 104.0.5112.101.
Microsoft Edge saugumo pastabostačiau šiuo metu [2022-08-17T12:00Z] sakyk:
2022 m. rugpjūčio 16 d
„Microsoft“ žino apie neseniai įvykusį išnaudojimą laukinėje gamtoje. Kaip pranešė „Chromium“ komanda, aktyviai stengiamės išleisti saugos pataisą.
Oficialioje „Microsoft“ svetainėje galite stebėti „Edge“ naujinį Edge saugos naujinimai mokėti.