Google parandab Chrome'i "loodusliku" nullpäeva – värskendage kohe!

Google'i uusim Chrome'i brauseri värskendus parandab erineva arvu vigu, olenevalt sellest, kas kasutate Android, Windows või Macja olenevalt sellest, kas kasutate "stabiilset kanalit" või "pikendatud stabiilne kanal".

Ärge muretsege, kui Google'i ajaveebi postituste rohkus tekitab segadust ...

…tegime ka, nii et oleme püüdnud koostada alloleva kõik-ühes kokkuvõtte.

. Stabiilne kanal on uusim versioon, sealhulgas kõik uued brauseri funktsioonid, praegu nummerdatud Chrome 103.

. Laiendatud stabiilne kanal identifitseerib end kui Chrome 102, ja sellel pole uusimaid funktsioone, kuid sellel on uusimad turvaparandused.

Ülaltoodud kolmes bülletäänis on loetletud kolm CVE-numbriga viga:

• CVE-2022-2294: Puhvri ületäitumine WebRTC-s. Nullpäeva auk, mis on küberkuritegevuse vennaskonnale juba tuttav ja mida looduses aktiivselt ära kasutatakse. See viga ilmneb kõigis ülaltoodud versioonides: Android, Windows ja Mac, nii "stabiilse" kui ka "laiendatud stabiilse" maitsega. WebRTC on lühend sõnast "reaalajas veebisuhtlus", mida kasutavad paljud teie kasutatavad heli- ja videojagamisteenused, näiteks kaugkoosolekute, veebiseminaride ja veebikõnede jaoks.
• CVE-2022-2295: Tüüpisegadus V8-s. Mõiste V8 viitab Google'i JavaScripti mootorile, mida kasutavad kõik JavaScripti koodi sisaldavad veebisaidid, mis 2022. aastal on peaaegu kõik veebisaidid. See viga ilmneb Androidis, Windowsis ja Macis, kuid ilmselt ainult Chrome 103 maitses ("stabiilne kanal").
• CVE-2022-2296: Pärast tasuta kasutamist Chrome OS Shellis. See kehtib Windowsi ja Maci "stabiilse kanali" kohta, kuigi Chrome OS-i kest on, nagu nimigi ütleb, osa Chrome OS, mis ei põhine ei Windowsil ega Macil.

Lisaks on Google parandanud hulga CVE-numbrita vigu, mis on ühiselt märgistatud Vea ID 1341569.

Need paigad pakuvad hulga ennetavaid parandusi, mis põhinevad „siseaudititel, segamisel ja muudel algatustel”, mis tähendab suure tõenäosusega seda, et need polnud varem kellelegi teisele teada ja seetõttu ei muudetud neid kunagi (ja ei saa enam) nulliks. päeva augud, mis on hea uudis.

Linuxi kasutajaid ei ole selle kuu bülletäänides veel mainitud, kuid pole selge, kas selle põhjuseks on see, et ükski neist vigadest ei kehti Linuxi koodibaasi kohta, kuna paigad pole Linuxi jaoks veel päris valmis või vead pole veel olemas. peetakse Linuxi-spetsiifiliste paranduste saamiseks piisavalt oluliseks.

Selgitatud veatüübid

Ülaltoodud oluliste veakategooriate ülikiire sõnastiku andmiseks:

• Puhvri ülevool. See tähendab, et ründaja edastatud andmed kantakse mäluplokki, mis ei ole saadetud summa jaoks piisavalt suur. Kui lisaandmed "valguvad" üle mäluruumi, mida tarkvara teised osad juba kasutavad, võib see (või antud juhul mõjutab) brauseri käitumist tahtlikult ja reetlikult mõjutada.
• Tüüpi segadus. Kujutage ette, et esitate selliseid andmeid nagu "toote hind", mida brauser peaks käsitlema lihtsa numbrina. Nüüd kujutage ette, et saate hiljem meelitada brauserit kasutama just sisestatud numbrit nii, nagu oleks see mäluaadress või tekstistring. Arv, mis läbis kontrolli, et veenduda, et see on seaduslik hind, ei ole tõenäoliselt kehtiv mäluaadress või tekstistring ja seetõttu poleks seda aktsepteeritud ilma selle teise andmetüübi varjus sisse hiilimiseta. Sisestades andmeid, mis on "kehtivad kontrollimisel, kuid kasutamise ajal kehtetud", võib ründaja brauseri käitumist tahtlikult õõnestada.
• Kasutada pärast tasuta. See tähendab, et üks brauseri osa kasutab valesti mäluplokki pärast seda, kui see on süsteemile mujale ümberjaotamiseks tagasi antud. Selle tulemusena võidakse andmeid, mida on juba ohutuse tagamiseks kontrollitud (koodiga, mis eeldab, et see "omab" asjaomast mälu), vahetult enne nende kasutamist varjatult muudetud, mõjutades seega reetlikult brauseri käitumist.

Mida teha?

Tõenäoliselt värskendab Chrome ennast, kuid soovitame alati kontrollida.

Windowsis ja Macis kasutage rohkem > aitama > Google Chrome'i kohta > Värskendage Google Chrome'i.

Androidis kontrollige, kas teie Play poe rakendused on ajakohased.

Pärast värskendamist otsite versiooni 102.0.5005.148 kui kasutate "laiendatud stabiilset" versiooni; 103.0.5060.114 kui olete "stabiilsel" rajal; ja 103.0.5060.71 Android.

Linuxis pole me kindlad, millist versiooninumbrit silmas pidada, kuid sama hästi võiksite seda teha aitama > MEIST > Värskendused turvatantsu, et tagada, et teil on praegu saadaval uusim versioon.