גוגל תיקנה עוד פגיעות של יום אפס שאיימה על משתמשי Chrome.

קרדיט: monticello - Shutterstock
אם עדכנת לאחרונה את Google Chrome לגרסה 104, אולי תופתעו לגלות שכבר קיים עדכון נוסף עבור הדפדפן שלכם. אחרי הכל, העדכון האחרון תיקן 27 פרצות אבטחה: מה נשאר לעדכן? ככל הנראה, לא מעט, כולל ליקוי אבטחה חדש שהאקרים כבר יודעים לנצל.
גוגל הודיעה על העדכון בChrome משחרר פוסט בבלוגיום שלישי, 16 באוגוסט. גרסת Chrome החדשה הזו היא 104.0.5112.101 עבור Mac ו-Linux ו-104.0.5112.102/101 עבור Windows, והיא זמינה כעת בכל הפלטפורמות.
התיקון כולל תיקונים ל-11 פרצות אבטחה, מתוכן אחת מתויגת כקריטית, שש מסווגות בדרגת חומרה גבוהה, ושלושה מסווגות בדרגת חומרה בינונית. עם זאת, הסיפור האמיתי נוגע לאחת מפגיעות החומרה הגבוהה, שזוהתה כ-CVE-2022-2856: גוגל אישרה כי ניצול של פגם זה קיים בטבע, מה שהופך אותו לפגיעות של יום אפס.
ימי אפס הם מסוכנים. בעוד שרוב פרצות האבטחה לעולם אינן מנוצלות לפני שתיקון זמין, חלקן כן. כשמישהו מצליח לא רק לגלות פגם בתוכנה, אלא גם להבין איך להשתמש בה נגד אחרים, הפגיעות הזו הופכת ליום אפס - CVE-2022-2856 היא פגיעות כזו.
הפגם נובע מ"אימות לא מספיק של קלט לא מהימן ב-Intents".לפי Bleeping Computer, פגם מסוג זה יכול להוביל לבעיות כגון "הצפת מאגר, מעבר ספריות, הזרקת SQL, סקריפטים בין-אתרים, הזרקת בתים אפסיים ועוד." זוהי רשימה ארוכה של השלכות שעלולות לסכן את המערכת שלך, ומכיוון שיש ניצול עבורה בטבע, עדכון Chrome צריך להיות בראש סדר העדיפויות.
עם זאת, לא רק יום האפס הזה אמור לשכנע אותך לעדכן: 10 הבעיות האחרות עדיין חשובות לתיקון, מכיוון שהזהות שלהן ידועה כעת. האקרים עדיין יכלו למצוא דרכים לנצל את הפגיעויות הללו, ולכן חשוב לעדכן כדי להגן על עצמך בכל רחבי הלוח.
אתה יכול לראות את כל 11 הפגיעויות של תיקוני העדכון הזה למטה, כולל מי גילה את הפגיעויות והתגמול שהם הרוויחו על כך:
[$NA][1349322] קריטי CVE-2022-2852: השתמש לאחר חינם ב-FedCM. דווח על ידי סרגיי גלזונוב מ-Google Project Zero ב-2022-08-02
[$7000][1337538] גבוה CVE-2022-2854: השתמש לאחר חינם ב- SwiftShader. דווח על ידי קאסידי קים ממעבדת Amber Security, OPPO Mobile Telecommunications Corp. Ltd. בתאריך 2022-06-18
[$7000][1345042] גבוה CVE-2022-2855: השתמש לאחר חינם ב-ANGLE. דווח על ידי קאסידי קים ממעבדת אמבר אבטחה, OPPO Mobile Telecommunications Corp. Ltd. בתאריך 2022-07-16
[$5000][1338135] גבוה CVE-2022-2857: השתמש לאחר חינם ב-Blink. דווח על ידי אנונימי בתאריך 2022-06-21
[$5000][1341918] גבוה CVE-2022-2858: השתמש לאחר חינם בזרימת הכניסה. דווח על ידי עורב במעבדת KunLun ב-2022-07-05
[$NA][1350097] גבוה CVE-2022-2853: גלישת מאגר ערימה בהורדות. דווח על ידי סרגיי גלזונוב מ-Google Project Zero ב-2022-08-04
[$NA][1345630] גבוה CVE-2022-2856: אימות לא מספיק של קלט לא מהימן ב-Intents. דווח על ידי אשלי שן וכריסטיאן ריסל מקבוצת ניתוח האיומים של Google בתאריך 2022-07-19
[$3000][1338412] בינוני CVE-2022-2859: השתמש לאחר בחינם ב-Chrome OS Shell. דווח על ידי Nan Wang(@eternalsakura13) וגואנג גונג ממעבדת 360 Alpha ב-22-06-2022
[$2000][1345193] בינוני CVE-2022-2860: אכיפת מדיניות לא מספקת בקובצי Cookie. דווח על ידי אקסל צ'ונג ב-2022-07-18
[$TBD][1346236] בינוני CVE-2022-2861: יישום לא הולם ב-Extensions API. דווח על ידי Rong Jian מ-VRI בתאריך 2022-07-21
[1353442] תיקונים שונים מביקורות פנימיות, פיוזינג ויוזמות אחרות
כיצד לעדכן את גוגל כרום
בין אם אתה משתמש ב-Mac, Windows או Linux, אתה יכול לעדכן במהירות את Chrome כדי לתקן לא רק את הפגיעות הזו של יום אפס, אלא גם את 10 הפגמים האחרים. לחץ על שלוש הנקודות בפינה השמאלית העליונה של חלון הדפדפן שלך, ולאחר מכן עבור אלעזרה > אודות Google Chrome. אפשר ל-Chrome לחפש עדכון חדש. אם אחד זמין, תוכל ללחוץ על "הפעל מחדש" כדי להתקין אותו.
אם הפעלתם עדכונים אוטומטיים, תוכלו פשוט לחכות עד ש-Chrome יתקין את העדכון בעצמו. עם זאת, זה עשוי לקחת מספר שבועות - הדרך המהירה ביותר לאבטח את הדפדפן שלך היא לעדכן את Chrome בעצמך.
ג'ייק פיטרסון
עורך טכנולוגי בכיר
ג'ייק פיטרסון הוא העורך הטכנולוגי הבכיר של Lifehacker. יש לו תואר BFA בקולנוע וטלוויזיה מ-NYU, שם התמחה בכתיבה. ג'ייק עוזר לאנשים עם הטכנולוגיה שלהם באופן מקצועי מאז 2016, החל כמומחה טכני בחנות אפל בשדרה 5 של ניו יורק, ולאחר מכן ככותב באתר Gadget Hacks. באותה תקופה, הוא כתב וערך אלפי חדשות ומאמרי הדרכה על מכשירי אייפון ואנדרואיד, כולל דיווח על הדגמות חיות מהשקות מוצרים של סמסונג וגוגל. בשנת 2021, הוא עבר ל-Lifehacker ומסקר הכל מה-השימושים הטובים ביותר של AI בחיי היומיום שלךאֶלאיזה MacBook לקנות. הצוות שלו מכסה את כל הדברים הטכנולוגיים, כולל סמארטפונים, מחשבים, קונסולות משחקים ומנויים. הוא גר בקונטיקט.
קרא את הביוגרפיה המלאה של ג'ייק