Nouă actualizare masivă de securitate pentru 3,2 miliarde de utilizatori Google Chrome

Actualizare din 29 aprilie mai jos. Acest articol a fost publicat inițial pe 27 aprilie

Au fost ultimele câteva săptămâni incredibil de încărcate în lumea securității Google Chrome, iar ritmul nu pare să încetinească. În urma a două corecții de urgență pentru exploatări în sălbăticie și a confirmării unui număr record de zile zero Chromium în 2021, vine o altă actualizare de securitate cu adevărat masivă pentru miliarde de utilizatori Chrome. . Cât de masiv ar fi? Ei bine, actualizarea recent confirmată a canalului stabil pentru desktop, care aduce Google Chrome la versiunea 101.0.4951.41 pentru utilizatorii de Windows, Mac și Linux, remediază nu mai puțin de 30 de vulnerabilități de securitate.

MAI MULT FORBESActualizare de securitate de urgență pentru 3,2 miliarde de utilizatori Google Chrome – Atacuri în curs

Nicio zi zero din Google Chrome nu este un motiv pentru mulțumirea de actualizare a utilizatorilor

Din fericire, cel puțin deocamdată, niciuna dintre ele nu este zero-day unde atacatorii sunt cunoscuți că exploatează deja vulnerabilități. Cu toate acestea, asta nu înseamnă că mulțumirea utilizatorilor ar trebui să fie la ordinea zilei. Ca întotdeauna, recomand să lansați Actualizarea de securitate Chrome 101 cât mai curând posibil, în loc să aștept ca acesta să vă fie lansat în zilele și săptămânile următoare. Și, cel mai important, asigurați-vă că este activat corect, indiferent dacă actualizați acum sau alegeți să așteptați.

Actualizare 29 aprilie: Deoarece Chrome nu este singurul client de browser web care utilizează motorul Chromium sub capotă, utilizatorii acestor browsere ar trebui, de asemenea, să caute actualizări de securitate. Pot confirma că, la momentul scrierii, copiile mele de Brave și Microsoft Edge au fost actualizate pentru a include cea mai recentă versiune Chromium 101.0.4951.41, așa cum puteți vedea în capturile de ecran de mai jos. Este la fel de important să vă asigurați că aceste browsere au fost actualizate pentru a aplica corecțiile de securitate necesare, ceea ce înseamnă să le reporniți așa cum ați proceda cu Google Chrome însuși.

În ceea ce privește utilizatorii Brave, trebuie să vă îndreptați către meniul „burger” cu trei benzi și să selectați opțiunea „Despre Brave”. Din nou, acest lucru va forța browserul să verifice imediat dacă este disponibilă o actualizare și să o descarce dacă este într-adevăr. Cu riscul de a suna ca o înregistrare spartă, nu uitați să reporniți browserul pentru a vă asigura că remedierea a fost aplicată și vă menține în siguranță.

Pentru a verifica numărul versiunii și a începe procesul de actualizare Microsoft Edge, accesați meniul „trei puncte” din partea dreaptă sus a ecranului. De acolo, selectați „Ajutor și feedback | Despre Microsoft Edge”. Aceasta va verifica imediat dacă este disponibilă o actualizare și va începe descărcarea, dacă da. Apoi vi se va solicita să reporniți browserul. Așa că asigurați-vă că ați închis toate filele deschise și ați salvat toate informațiile de care aveți nevoie.

Din păcate, nici Opera și nici Vivaldi nu au fost actualizate la momentul scrierii, așa că vă rugăm să continuați să le verificați dacă le folosiți. Pentru Opera, trebuie să vă îndreptați spre stânga sus și pictograma Opera. Opțiunea de meniu dorită este Ajutor | Despre Opera, nicio surpriză. Utilizatorii Vivaldi pot selecta Ajutor|Verificare actualizări din meniul siglei „V”.

Agenția SUA pentru Securitate Cibernetică și Infrastructură (CISA) a confirmat importanța acestor actualizări de securitate într-o postare din 28 aprilie. CISA spune că „încurajează utilizatorii și administratorii să examineze notele de lansare ale Chrome și să aplice orice patch-uri necesare”, deoarece un atacator ar putea altfel exploata vulnerabilitățile pentru a prelua controlul asupra unui sistem afectat.

80.000 USD în vulnerabilități Chrome corectate

Dintre cele 30 de vulnerabilități, șapte sunt clasificate ca risc ridicat, în timp ce 14 sunt evaluate ca mediu pentru Vulnerabilități și expuneri comune (CVE). În total, peste 80.000 USD au fost confirmați prin plățile Google recompense către cercetătorii care au descoperit aceste probleme de securitate.

Deși detaliile tehnice complete ale vulnerabilităților remediate nu au fost încă publicate, știm că acestea includ următoarele 25 de vulnerabilități specifice, restul de cinci intră în „diverse remedieri din audituri interne, fuzzing și alte inițiative”.

MAI MULT FORBESUtilizatorii Google Chrome au fost îndemnați să actualizeze pe măsură ce este lansat un alt patch de securitate urgent

Vulnerabilitati de nivel inalt:

  • CVE-2022-1477: utilizați după lansare în Vulkan.
  • CVE-2022-1478: utilizați după lansare în SwiftShader.
  • CVE-2022-1479: Utilizați după gratuit în ANGLE.
  • CVE-2022-1480: Utilizați după lansare în API-ul dispozitivului.
  • CVE-2022-1481: folosiți după gratuit în partajare.
  • CVE-2022-1482: Implementare inadecvată în WebGL.
  • CVE-2022-1483: depășirea tamponului în WebGPU.

Vulnerabilitati de nivel mediu:

  • CVE-2022-1484: Buffer overflow în setările interfeței de utilizare web.
  • CVE-2022-1485: utilizare post-gratuită în API-ul sistemului de fișiere.
  • CVE-2022-1486: Tip confuzie în V8.
  • CVE-2022-1487: Utilizare după eliberare în ozon.
  • CVE-2022-1488: Implementare inadecvată în API-ul Extensions.
  • CVE-2022-1489: Acces la memorie în afara limitelor în raftul UI.
  • CVE-2022-1490: utilizați după eliberare în comutatorul de browser.
  • CVE-2022-1491: utilizați după eliberare în marcaje.
  • CVE-2022-1492: validare insuficientă a datelor în Blink Editing.
  • CVE-2022-1493: utilizați după gratuit în instrumentele pentru dezvoltatori.
  • CVE-2022-1494: validare insuficientă a datelor în tipuri de încredere.
  • CVE-2022-1495: UI de securitate incorectă în descărcări.
  • CVE-2022-1496: utilizați după gratuit în managerul de fișiere.
  • CVE-2022-1497: Implementare inadecvată în Input.

Vulnerabilități evaluate scăzut:

  • CVE-2022-1498: Implementare necorespunzătoare în analizatorul HTML.
  • CVE-2022-1499: Implementare necorespunzătoare în WebAuthentication.
  • CVE-2022-1500: validare insuficientă a datelor în instrumentele pentru dezvoltatori.
  • CVE-2022-1501: Implementare inadecvată în iframe.

Cum să aplicați corecția de securitate masivă Google Chrome chiar acum

Mergeți la Ajutor | Despre meniul dvs. Google Chrome și dacă actualizarea este disponibilă, descărcarea va începe automat.

Nu uitați să reporniți browserul după instalarea actualizării, altfel nu se va activa și veți fi în continuare vulnerabil la atacuri. Acest ultim punct este același dacă obțineți actualizarea automată fără a începe procesul – nu se va activa până când browserul dvs. nu repornește. Având în vedere câți oameni păstrează un browser cu un milion de file deschise tot timpul, nu pot sublinia suficient cât de important este acest lucru.

.

Add Comment