The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Chrome 89.0.4389.90 с устранением 0-day уязвимости

13.03.2021 08:05

Компания Google сформировала обновление Chrome 89.0.4389.90, в котором исправлены пять уязвимостей, в том числе проблема CVE-2021-21193, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана обращением к уже освобождённой области памяти в браузерном движке Blink.

Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе.

  1. Главная ссылка к новости (https://chromereleases.googleb...)
  2. OpenNews: Chrome сокращает цикл подготовки релизов и вводит в обиход редакцию Extended Stable
  3. OpenNews: Релиз Chrome 89
  4. OpenNews: В Chrome экспериментируют с открытием сайтов по умолчанию через HTTPS
  5. OpenNews: Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-day уязвимостях в 2020 году
  6. OpenNews: Обновление Chrome 88.0.4324.146 с устранением критической уязвимости
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54750-chrome
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, КО (?), 08:17, 13/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Я понимаю хромиум, но зачем постить хром?
    Читаем лицензию фуррифокса - "делайте что хотите только аккуратно".
    Читаем лицензию хрома - "вы наш анальный раб"
     
     
  • 2.5, Аноним (5), 09:15, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Номер пункта договора скажите
     
  • 2.9, DiabloPC_пробегал (?), 10:40, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Проблема не в хроме,  а в blink'e, а оно oss и используется далеко не только в хроме.
     
  • 2.11, nebularia (ok), 10:54, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Я понимаю хромиум, но зачем постить хром?

    Какая для новости вообще разница, если они синхронно выпускаются?

     
  • 2.21, Аноним (21), 14:52, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Хм... А есть ещё какие-то браузеры кроме Хрома? Что-то не припоминаю...
     
     
  • 3.22, Аноним999 (ok), 15:21, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хромиум.
    А всё остальное делается на его базе.
     
  • 3.23, Аноним (23), 15:31, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Есть. Припоминаю.
     
     
  • 4.43, Аноним (43), 22:27, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    И что же это?
     
     
  • 5.47, Аноним (47), 03:36, 14/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    https://ru.wikipedia.org/wiki/Шаблон:Браузеры
     

  • 1.2, Fracta1L (ok), 08:31, 13/03/2021 Скрыто модератором [﹢﹢﹢] [ · · · ]
  • –6 +/
     
     
  • 2.3, Корец (?), 08:34, 13/03/2021 Скрыто модератором
  • +5 +/
     

  • 1.4, lockywolf (ok), 08:41, 13/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    По ссылке Permission Denied.
     
     
  • 2.6, eugener (ok), 09:21, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Детали пока не раскрываются!
     

  • 1.7, ыы (?), 09:42, 13/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    баг в движке... То есть уязвим весь выводок, опера, яндексбраузер и т.д.. ?
     
     
  • 2.8, iPony129412 (?), 10:31, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как всегда.
     
  • 2.10, hefenud (ok), 10:48, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    В теории да, на практике не факт. Зависит от того когда баг появился и когда конкретный хромиум-бэйзед синхронизировал код. Может выйти так, что какие-то неуязвимы.
     
     
  • 3.12, Аноним (12), 11:50, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Ловите яндокс-макаку!
     
     
  • 4.20, Аноним (21), 14:44, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это супер-браузер. Мазила отдыхает.
     
  • 4.25, hefenud (ok), 15:36, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ловите яндокс-макаку!

    Отойди от зеркала!

     
  • 3.13, Total Anonimus (?), 12:06, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не появился , а был обнаружен и исправлен . Багу может быть несколько месяцев .
     
     
  • 4.17, Rev (?), 13:50, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Месяцев? Может и несколько лет быть :)

    По статистике, в движке Хрома примерно одна CVE каждые два дня появляется.

     
  • 4.24, hefenud (ok), 15:35, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Зависит от того когда появился
    Его могли влить к себе прочие хромиум-бэйзед, а могли не влить.
    В этом была суть ответа

    Насколько я понимаю опера и вивальди, например, сильно отстают от оригинала и могли просто не получить баг

     
     
  • 5.28, iPony129412 (?), 15:55, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну глупости какие-то.
    Нет, сильно не отстают.
    Да — так же подтверждены уязвимости.

    ЗЫ: очень много слов о пустом.

     
     
  • 6.29, hefenud (ok), 16:22, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Поняшка, а ты откуда знаешь, если еще неизвестно когда уязвимость появилась?
    Оно же вроде не на расте написано, а ты только про него читаешь

    Еще раз, для поняшек: так как все эти модные шкурки поверх хромиума отстают так или иначе от оригинала, то они могут быть подвержены, а могут быть не подвержены уязвимости из-за расхождения кодовой базы. Узнать это можно только сравнив даты когда уязвимость появилась и когда последний раз эти криворучки брали код.

     
     
  • 7.32, iPony129412 (?), 16:48, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну очень много глупого текста.


     

  • 1.14, Аноним (14), 13:12, 13/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > JavaScript-движке Blink

    Может быть в V8? Blink это про другое.

     
     
  • 2.15, Аноним (14), 13:14, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В оригинале "Use after free in Blink.", т.е. это что угодно, но точно не JS.
     

  • 1.18, Аноним (18), 14:17, 13/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В Ubuntu 18.04 последняя версия Chromium 87, в 20.04 85-я и только в snap, что за дичь?
     
     
  • 2.26, hefenud (ok), 15:39, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    > В Ubuntu 18.04 последняя версия Chromium 87, в 20.04 85-я и только
    > в snap, что за дичь?

    Судя по https://repology.org/project/chromium/versions только в раче и его клонах обновили, в остальных еще не успели

     
  • 2.27, iPony129412 (?), 15:50, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Чего? https://snapcraft.io/chromium
     
     
  • 3.30, нахснап (?), 16:31, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Мне этот с*анный снап нафик не нужон, а в оф релизе 20.04 ж 80-я версия https://packages.ubuntu.com/search?keywords=chromium-browser&searchon=names&su
     
     
  • 4.31, iPony129412 (?), 16:39, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Неправда.

    > focal (20.04LTS) (web): Transitional package - chromium-browser -> chromium snap [universe] 80.0.3987.163-0ubuntu1: amd64 arm64 armhf

    Там же написано, что это тупо ярлычок пустышка на SNAP версию.
    Версия этого пакета пустышки не имеет практического смысла.

     
     
  • 5.34, нахснаппонитож (?), 17:02, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Вот я и говорю, что мне эта пустышка снап нах не нужон
     
     
  • 6.35, iPony129412 (?), 17:15, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Надо - не надо. Но старый Chromium не поставится в Ubuntu 20.04.
    А 18.04 уже три года - это уже типа конец основной поддержки для всякого Universe и прочего. Тоесть апдейты будут ещё больше на отшибись.
     
  • 4.41, НяшМяш (ok), 21:12, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Ставь минта, там мейнтейнеры озаботились этой проблемой.
     
     
  • 5.45, snaptrap (?), 22:46, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уже обновился на свою голову, стал работать медленее, ну вот как так то? как жить и не бухать?
     

  • 1.33, Аноним (-), 16:49, 13/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А сколько добавлено?
     
     
  • 2.36, Адмирал Майкл Роджерс (?), 17:26, 13/03/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это конфиденциальная информация.
     

  • 1.53, Аноним (53), 23:18, 15/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кроме Хрома очень скоро никого не останется. Остальных постепенно натянут на кукан Гугла. Или сами сольются.
     
  • 1.54, Аноним (54), 05:48, 18/03/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очередное падение ютуба в иксах в хромиме.

    Код ошибки: 256

    Рекомендуют очистить кеш. Ага в режиме инкогнито после удаления всех данных. С фаерфоксом такого годами не бывает как хромиум плющит.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру