Avviso di sicurezza di Google Chrome 101 per 3,2 miliardi di utenti: aggiornalo ora

Aggiornamento dell’11 maggio: questo post è stato originariamente pubblicato il 10 maggio

Ho parlato velocemente quando ieri ho riferito che Google aveva confermato un aggiornamento relativamente raro solo per gli utenti Android del browser Chrome. Gli utenti Windows, Linux e Mac non possono tirare un sospiro di sollievo e invece dovrebbero anche verificare se i loro browser Chrome vengono aggiornati il ​​prima possibile. Perché il cambiamento? Perché Google ha ora confermato che miliardi di utenti del browser web più popolare del pianeta sono colpiti dalle ultime vulnerabilità di sicurezza.

In un annuncio del 10 maggio di Prudhvikumar Bommana del team di Google Chrome, le stesse nove vulnerabilità che hanno provocato Android L’avviso di aggiornamento della sicurezza in realtà si applicava anche al browser desktop su tutte le piattaforme. In realtà, ci sono 13 correzioni di sicurezza in tutto come ho inizialmente segnalato, ma solo nove sono stati assegnati numeri CVE. Al momento non è chiaro il motivo per cui ci sia stato un ritardo tra i due aggiornamenti che sono stati confermati, ma cercherò di scoprirlo e riferire. Sebbene nessuna delle vulnerabilità rivelate sia del tipo zero-day in questo momento, il che significa che non ci sono prove che gli aggressori le stiano già sfruttando, questo non è motivo di compiacimento. Quindi, aggiorna il tuo browser Chrome il prima possibile.

Nel caso del browser desktop, questo significa andare all’opzione Aiuto|Informazioni nel menu di Google Chrome. Il download dell’aggiornamento inizierà automaticamente se è disponibile per te. Il tutti i dettagli possono essere trovati qui ma la cosa più importante da ricordare è riavviare il browser o l’aggiornamento non verrà attivato. La versione aggiornata che include correzioni di sicurezza nel client desktop è 101.0.4951.64.

Gli utenti di altri browser Web basati su Chromium come Brave ed Edge dovrebbero anche essere attenti al fatto che è probabile che gli aggiornamenti di sicurezza seguiranno nei prossimi giorni. Aggiornerò questo articolo non appena posso confermare che tali aggiornamenti sono stati implementati, con le istruzioni su cosa devi fare. Ovviamente, gli utenti di Chrome per Android devono comunque assicurarsi che l’app sia aggiornata, come di seguito.

Aggiornamento 12 maggio: questo post è stato originariamente pubblicato il 10 maggio

Non ci sono vulnerabilità zero-day sfruttate attivamente che interessano il progetto open source Chromium al centro del browser Google Chrome. Questo è. certo, buone notizie. Come il fatto che l’aggiornamento della sicurezza di Chrome sia stato implementato sia per le versioni desktop che per Android e dovresti forzare l’installazione se il tuo browser non è stato aggiornato automaticamente. Le istruzioni per farlo sono incluse di seguito.

Ci sono altre buone notizie, sono felice di comunicarle: sia il browser Brave che Opera, anch’essi basati su Chromium, possono ora essere aggiornati per proteggersi da un gruppo di vulnerabilità molto gravi. In questi giorni utilizzo Brave come browser principale preferito, anche perché oltre agli aspetti relativi alla privacy che offre così bene, è probabile che questi importanti aggiornamenti di sicurezza siano disponibili in un ordine relativamente breve, subito dopo la prima rivelazione di Google. Anche l’opera è spesso fuori luogo in questo senso.

Il che mi porta alle cattive notizie per gli utenti del secondo browser desktop più popolare al mondo, Microsoft Edge. Nel momento in cui scrivo, e sto controllando su base oraria, circa 48 ore dopo l’annuncio dell’aggiornamento di Google Chrome, gli utenti di Edge non possono ancora aggiornare la sicurezza del proprio browser. Non è che Microsoft non sia a conoscenza delle vulnerabilità, ovviamente, e di una rapida analisi Note sulla versione degli aggiornamenti di sicurezza di Microsoft Edge lo dimostra. Un post del 10 maggio affermava: “Microsoft è a conoscenza delle recenti correzioni di sicurezza di Chromium. Stiamo lavorando attivamente per rilasciare una correzione di sicurezza”.

Ho contattato Microsoft per chiedere quali sono i motivi di questo ritardo e, in effetti, perché gli utenti di Microsoft Edge sembrano dover aspettare sempre più a lungo degli utenti di Chrome, Brave o Opera per essere protetti da vulnerabilità note. L’ufficio stampa di Microsoft mi assicura che valuteranno per me, quindi spero di aggiornarvi con una risposta a tempo debito. Nel frattempo, tuttavia, ti suggerisco di seguire le istruzioni dettagliate di seguito per tenere sotto controllo (nessun gioco di parole) l’arrivo della correzione di sicurezza. Come per tutti i browser basati su Chromium, il download e l’installazione dell’aggiornamento da soli non sono sufficienti; dovresti riavviare il browser prima che possa avviarsi e iniziare a proteggerti da potenziali pericoli.

Comprendo che Microsoft deve assicurarsi che tutte le correzioni applicate siano sicure da utilizzare su un’ampia base di utenti. Devi solo guardare la situazione con l’ultima distribuzione degli aggiornamenti di sicurezza del Patch Tuesday per gli utenti Windows per vedere le prove di cosa potrebbe andare storto. L’ultimo L’aggiornamento di May Patch Tuesday ha causato errori di autenticazione per molti utenti aziendali e presto è previsto un aggiornamento fuori banda all’aggiornamento originale. Detto questo, quello che non capisco è perché artisti del calibro di Brave e Opera, anche con basi di utenti più piccole e meno utenti business-critical, possono muoversi più velocemente. In effetti, Chrome stesso ha una base di utenti più ampia sia nei profili consumer che business con una stima di 3,2 miliardi di utenti in totale. Sebbene tutti i browser basati su Chromium siano diversi in quanto avvolgono tutti i tipi di componenti proprietari attorno al codice di base, deve esserci un modo migliore per farlo. Una divulgazione coordinata tra i fornitori, con aggiornamenti di sicurezza programmati per il rilascio simultaneo, sembra la soluzione ideale. Dubito che ciò accadrà, almeno vista la competitività del mercato dei browser, ma i ritardi misurati in termini di giorni tra gli aggiornamenti di sicurezza per le stesse vulnerabilità non avranno mai il mio voto in termini di efficacia di pura sicurezza.

Come aggiornare il browser Google Chrome (Desktop)

Vai all’opzione Aiuto|Informazioni nel menu di Google Chrome e, se è disponibile un aggiornamento, inizierà automaticamente il download. Riavvia per attivare l’aggiornamento.

Come aggiornare il browser Microsoft Edge

Vai a Guida e feedback|Informazioni su Microsoft Edge dal menu a tre punti in alto a destra e se è disponibile un aggiornamento, forzerà l’avvio del processo. Una volta scaricato e installato, come sempre, chiudi tutte le schede e riavvia il browser.

Come aggiornare il browser Brave

Vai a “About Brave” dal menu in cima alla pila di hamburger. Questo avvierà automaticamente il processo di controllo, download e installazione dell’aggiornamento. Riavvia il browser per attivare.

Come aggiornare il browser Opera

Invece di guardare in alto a destra come la maggior parte dei browser, gli utenti di Opera devono andare al logo “O” di Opera in alto a sinistra. Clicca qui e seleziona Aiuto|Informazioni su Opera.

Gli utenti Windows, Linux e Mac del browser Google Chrome possono respirare tranquillamente per ora. L’ultimo avviso di sicurezza è rivolto solo agli utenti di smartphone per una modifica. In una conferma dell’aggiornamento di Chrome pubblicata il 9 maggio, Google ha rivelato almeno 13 correzioni di sicurezza. Di questi, a otto sono state assegnate valutazioni di gravità delle vulnerabilità e delle esposizioni comuni (CVE) elevate, con uno che ha ricevuto un punteggio medio. Il resto, quattro in totale, è stato avvolto in “varie correzioni” dal lavoro di sicurezza interna in corso a cui non erano stati assegnati numeri CVE.

PIÙ DI FORBESConfermato il nuovo aggiornamento di sicurezza di Google Chrome per 3,2 miliardi di utenti

$ 11.000 assegnati ai ricercatori di sicurezza in pagamenti di taglie sui bug

Tra le valutazioni assegnate, tre gravi vulnerabilità di sicurezza di Chrome per Android hanno visto pagamenti di taglie di bug per un totale di $ 11.000 effettuati ai ricercatori di sicurezza che li hanno divulgati. La vulnerabilità solitaria di media gravità ha guadagnato un pagamento di $ 5.000. Altri quattro sono in attesa di un pagamento monetario ma gli importi non sono stati confermati da Google.

Aggiorna a Google Chrome v101.0.4951.61 il prima possibile

Come sempre, il consiglio di Forbes Straight Talking Cyber ​​è quello di assicurarsi che il proprio smartphone venga aggiornato il prima possibile per applicare le patch di vulnerabilità. Google afferma che la correzione verrà lanciata oggi e dovrebbe essere disponibile su Google Play “nei prossimi giorni”. La versione aggiornata, secondo l’annuncio di Google, è Chrome v101.0.4951.61 per Android. Al momento in cui scrivo, il mio Samsung Galaxy Note 10+ è ancora sull’aggiornamento del 26 aprile di v101.0.4951.41 e quindi non è ancora stato aggiornato.

Come controllare il numero di versione del tuo Google Chrome per Android

Il miglior consiglio è lasciare che Google aggiorni la tua app non appena diventa disponibile. Per configurarlo, vai al menu a tre punti nell’app Google Play e vai su Impostazioni|Preferenze di rete Aggiorna automaticamente le app.

Per controllare il numero di versione del tuo Chrome per Android, vai al menu a tre punti nell’app Chrome stessa e seleziona Guida e feedback, quindi dal menu a tre punti lì Informazioni sulla versione.

Per controllare Google Play per l’ultima versione, apri l’app e fai clic sull’icona del tuo profilo in alto a destra. Da qui vuoi gestire app e dispositivi|Aggiornamenti disponibili.

Queste sono le vulnerabilità della sicurezza di Chrome che sono state corrette

Le nove vulnerabilità di sicurezza coperte da questo aggiornamento di Chrome sono le seguenti, tieni presente che Google sta limitando l’accesso a tutti i dettagli fino a quando la maggior parte degli utenti non avrà avuto la possibilità di aggiornare l’app del browser.

Grado di severità elevata:

  • CVE-2022-1633: da utilizzare gratuitamente in Sharesheet.
  • CVE-2022-1634: da utilizzare gratuitamente nell’interfaccia utente del browser.
  • CVE-2022-1635: da utilizzare gratuitamente nelle richieste di autorizzazione.
  • CVE-2022-1636: da utilizzare gratuitamente nelle API delle prestazioni.
  • CVE-2022-1637: implementazione inappropriata nei contenuti Web.
  • CVE-2022-1638: overflow del buffer dell’heap nell’internazionalizzazione V8.
  • Alto CVE-2022-1639: utilizzare dopo libero in ANGOLO.
  • CVE-2022-1640: utilizzare gratuitamente dopo la condivisione.

Grado di gravità moderato:

  • CVE-2022-1641: da utilizzare gratuitamente nella diagnostica dell’interfaccia utente Web.

PIÙ DI FORBESAggiornamento di Google Android urgente poiché 36 problemi di sicurezza sono confermati: uno è già sotto attacco

Leave a Reply

Your email address will not be published. Required fields are marked *