The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Chrome 100.0.4896.127 с устранением 0-day уязвимости

15.04.2022 10:25

Компания Google сформировала обновление Chrome 100.0.4896.127 для Windows, Mac и Linux, в котором исправлена серьёзная уязвимость (CVE-2022-1364), уже применяемая злоумышленниками для совершения атак (0-day). Детали пока не раскрываются, известно лишь, что 0-day уязвимость вызвана неправильной обработкой типов (Type Confusion) в JavaScript-движке V8, позволяющей обработать объект с некорректным типом, что, например, даёт возможность сформировать 64-разрядный указатель на основе комбинации из двух разных 32-разрядных значений для организации доступа к всему адресному пространству процесса. Пользователям рекомендуется не дожидаться автоматической доставки обновления, а проверить его наличие и инициировать установку через меню "Chrome > Справка > О Google Chrome".

  1. Главная ссылка к новости (https://chromereleases.googleb...)
  2. OpenNews: Релиз Chrome 100
  3. OpenNews: Обновление Chrome 99.0.4844.74 с устранением критической уязвимости
  4. OpenNews: Обновление Chrome 97.0.4692.99 с устранением критической уязвимости
  5. OpenNews: Обновление Chrome 96.0.4664.110 с устранением критической и 0-day уязвимостей
  6. OpenNews: Обновление Chrome 94.0.4606.71 с устранением 0-day уязвимостей
Автор новости: 1
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/57021-chrome
Ключевые слова: chrome
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Жироватт (ok), 13:32, 15/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А <самый-холиварный-язык-опеннета> смог бы защитить от такой уязвимости-дыры или опять-таки, нужен нормальный ПРОГРАММИСТ, а не копроративная гендерфлюидная кодомакака на спидах?
     
     
  • 2.2, Аноним (2), 13:38, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > на спидах?

    На биохакинге.

     
  • 2.3, nvidiaamd (?), 13:39, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нужен нормальный браузер не от кровавых корпорастов.
     
     
  • 3.7, Аноним (7), 13:54, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Пиши, разрешаю. За основу можешь взять Епифания и ввинтить поддержку хромых плагинов. Но для начала - хотя бы тёмную тему и нативный адблок, использующий списЬки ублок-орижина.
     
     
  • 4.11, Аноним (11), 14:23, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > тёмную тему

    Да, это клево. Сидишь себе за темной темой, и тут БАЦ! - по глазам херачит белый сайт. Очень комфортно, да.

     
     
  • 5.23, bnm (?), 15:23, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    У меня все сайты темные, в темной теме, можно нажать Alt+Shift+PrntScrn, все будет темным
     
  • 5.44, Аноним (44), 10:04, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не надо в тёмном помещении сидеть. Сделать хотя бы местное освещение. Глаза чьи?
     
  • 4.20, Аноним (20), 15:00, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Epiphany использует копроратический webkit. Лучше dillo возьмите и используйте по назначению.
     
     
  • 5.27, Аноним (27), 16:46, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > копроратический webkit

    С какого перепугу он корпорастический? Он опенсорсный, форк KHTML, код в SVN лежит, всё как местные любят.

     
     
  • 6.32, НяшМяш (ok), 18:42, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > всё как местные любят

    Э не, местные тут любят полный опенсорс, который не трогала ни одна корпорастическая рука, хостящийся на опенсорсном гите\свне, который запущен на опенсорсной операционке без блобов, которая крутится на опенсорсном железе, которое запитано от опенсорсного электричества.

     
     
  • 7.35, Аноним (27), 19:11, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > который не трогала ни одна корпорастическая рука, хостящийся на опенсорсном гите\свне, который запущен на опенсорсной операционке без блобов, которая крутится на опенсорсном железе, которое запитано от опенсорсного электричества.

    И который не существует. Местные любят жить в манямирке, это да.

     
  • 4.39, Аноним (39), 21:55, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Links2 - консольный браузер с картинками и очень хорош в освоении по сравнению с lynx или w3m, например.
     
  • 3.22, Аноним (11), 15:10, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > Нужен нормальный браузер не от кровавых корпорастов

    На данный момент даже ГУГЛ вряд ли сможет позволить себе написать браузер еще раз с нуля. Там веб-стандарты толще, чем стандарты для целых операционных систем. Так что останется только хромиум. Конкурировать между собой будут только хромы (хром - в значении "все части интерфейса, кроме самой веб-страницы"). Файрфокс вымрет - но его не жалко. Нафиг нужен.

     
     
  • 4.26, Аноним (44), 16:25, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А Гугл с нуля?
     
  • 4.29, Аноним (29), 17:03, 15/04/2022 Скрыто модератором
  • –1 +/
     
     
  • 5.31, Аноним (27), 17:30, 15/04/2022 Скрыто модератором
  • +1 +/
     
     
  • 6.37, Аноним (37), 21:35, 15/04/2022 Скрыто модератором
  • +/
     
  • 2.4, Аноним (-), 13:46, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    дык, JavaScript отключать надобно было. И нема проблемы. Тушэ!
     
     
  • 3.5, Аноним (5), 13:48, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Давно известный метод отключения из розетки гораздо эффективнее .
     
     
  • 4.41, Аноним (41), 00:47, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Почему не пользуешься?
     
  • 2.16, Аноним (-), 14:34, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А <самый-холиварный-язык-опеннета> смог бы защитить от такой уязвимости-дыры

    Не факт. Например, для реализации JIT надо уметь генерить машинный код и записывать его в память. Это заведомо unsafe и нарушает одну из ключевых парадигм безопасности известную как W^X. Если код сглупит и запишет не то что задумано - это настоящий машинный код, который может все что угодно. Хром, правда, свои части в песочнице запускает, так что это не обязано трансформироваться в взлом системы.

     
     
  • 3.47, qetuo (?), 13:04, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Это заведомо unsafe и нарушает одну из ключевых парадигм безопасности известную как W^X.

    Нет, не нарушает. Машинный код можно формировать в RW области и затем ремаппить на RX.

     

  • 1.6, Аноним (5), 13:50, 15/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сотка не один раз обновилась , но новость только об одном : супердыра или просто не успевают новости писать ?
     
     
  • 2.10, Аноним (10), 14:21, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    У хрома на каждую мажорную версию обычно через день-два выходит 2-3 хотфикса минорной с пометками СРОЧНО В НОМЕР ЮЗ АФТЕР ФРИ ГОЛАКТЕКА ОПАСНОСТЕ, замучаешься новости писать.
     
     
  • 3.42, Ананоним (?), 01:00, 16/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Новости фигня, замучаешься компайлить часами на один релиз.
     

  • 1.8, ryoken (ok), 13:59, 15/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Подскажите, с целью повышения уровня образованности. На другие вариации браузера уязвимость тоже распространяется? (ungoogled-chromium, chromium etc)
     
     
  • 2.12, Аноним (10), 14:24, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если они такой же версии, то скорее всего да, потому что собраны из тех же сырцов, по большому счёту. Если это какой-нибудь спин типа оперы, эдж, яндекса - зависит уже от того, в какой версии уязвимость внесли и успел ли форк притащить себе этот код. Но с этим толком непонятно, пока все детали закрыты.
     
  • 2.13, Аноним (11), 14:26, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > другие вариации браузера

    Это хром вариация. Вариация хромиума. На всех распространяется, не переживай.

     
  • 2.14, Аноним (14), 14:31, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да. "Унгуглид" - это всего лишь удаление некоторых сервисов типа вход в гуглоакк или синхра.
     
  • 2.17, Аноним (2), 14:35, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да, ещё как. Те же Brave и Edge постоянно тащат эти исправления себе из Хромиума.
     
  • 2.21, Аноним (21), 15:03, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Ко всему описанному выше, т.к. дыра в V8, то, скорее всего, затрагивает ещё и node.js, deno и прочие электроны
     

  • 1.9, Аноним (9), 14:16, 15/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    круто!экономическое противостояние улучшит мой браузер, но сделает меня таким что не будет средств им пользоваться
     
  • 1.15, Аноним (14), 14:33, 15/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    > исправлена серьёзная уязвимость

    Пора такие новости понимать так: "в предыдущих версиях была добавлена серьёзная дыра, но сейчас её кто-то спалил".

     
     
  • 2.18, Аноним (2), 14:36, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Не думаю, что есть смысл добавлять их специально, ведь их и так полно.
     
     
  • 3.19, Аноним (9), 14:42, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поставьте dos где 0.0000001% банкоматов работают там никто уязвимости не ищет. В грузовик только надо погрузить
     
  • 2.25, Аноним (25), 16:03, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Казалось бы, что им стоит прикрутить наконец адекватную авторизацию для дыр, а не "используй, кто хочет". Короче, наплевательское отношение.
     
  • 2.28, Аноним (28), 16:48, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С просветлением. Всю жизнь так читал все эти новости о героически исправленных багах - "ой, мы тут немножко обделались и только сейчас заметили, но уже подтерлись - срочно хвалите нас!".
     

  • 1.34, Аноним (34), 18:48, 15/04/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Недавно буквально 13 апреля вроде была версия 100.0.4896.88 а теперь 127 билд хреново тестили на дырки 88 ую версию.
     
     
  • 2.38, Аноним (11), 21:47, 15/04/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А это потому что у гугла нет такого эксперта по безопасности, как ты.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру