Bản cập nhật mới nhất của Google cho trình duyệt Chrome sửa một số lỗi khác nhau, tùy thuộc vào việc bạn có đang sử dụng Android, Windows hoặc Macvà tùy thuộc vào việc bạn đang chạy "kênh ổn định" hay "kênh ổn định mở rộng".

Đừng lo lắng nếu bạn thấy vô số bài đăng trên blog của Google khó hiểu…

… Chúng tôi cũng vậy, vì vậy chúng tôi đã cố gắng đưa ra một bản tóm tắt tất cả trong một bên dưới.

Sản phẩm Kênh ổn định là phiên bản mới nhất, bao gồm tất cả các tính năng mới của trình duyệt, hiện được đánh số Chrome 103.

Sản phẩm Kênh ổn định mở rộng tự nhận mình là Chrome 102và không có các tính năng mới nhất nhưng có các bản sửa lỗi bảo mật mới nhất.

Ba lỗi được đánh số CVE được liệt kê trong ba bản tin được liệt kê ở trên:

• CVE-2022-2294: Tràn bộ đệm trong WebRTC. Một lỗ hổng zero-day, đã được tình huynh đệ tội phạm mạng biết đến và tích cực khai thác trong tự nhiên. Lỗi này xuất hiện trong tất cả các phiên bản được liệt kê ở trên: Android, Windows và Mac, ở cả hai phiên bản "ổn định" và "ổn định mở rộng". WebRTC là viết tắt của "giao tiếp thời gian thực trên web", được sử dụng bởi nhiều dịch vụ chia sẻ âm thanh và video mà bạn sử dụng, chẳng hạn như cho các cuộc họp từ xa, hội thảo trên web và cuộc gọi điện thoại trực tuyến.
• CVE-2022-2295: Nhập nhầm lẫn trong V8. Thuật ngữ V8 đề cập đến công cụ JavaScript của Google, được sử dụng bởi bất kỳ trang web nào bao gồm mã JavaScript, vào năm 2022, hầu hết mọi trang web đều có. Lỗi này xuất hiện trong Android, Windows và Mac, nhưng dường như chỉ xuất hiện trong phiên bản Chrome 103 ("kênh ổn định").
• CVE-2022-2296: Sử dụng sau khi miễn phí trong Chrome OS Shell. Điều này được liệt kê là áp dụng cho "kênh ổn định" trên Windows và Mac, mặc dù vỏ Chrome OS, như tên gọi, là một phần của Chrome OS, không dựa trên Windows và Mac.

Ngoài ra, Google đã vá một loạt các lỗi không được đánh số CVE được gắn nhãn chung ID lỗi 1341569.

Các bản vá này cung cấp một loạt các bản sửa lỗi chủ động dựa trên “đánh giá nội bộ, đánh giá và các sáng kiến ​​khác”, điều này rất có thể có nghĩa là chúng trước đây không được ai khác biết đến và do đó không bao giờ (và không còn có thể được) biến thành XNUMX- lỗ trong ngày, đó là một tin tốt.

Người dùng Linux chưa được đề cập đến trong các bản tin của tháng này, nhưng không rõ đó là do không có lỗi nào trong số này áp dụng cho cơ sở mã Linux, vì các bản vá chưa hoàn toàn sẵn sàng cho Linux, hay vì lỗi chưa được coi là đủ quan trọng để nhận các bản sửa lỗi dành riêng cho Linux.

Đã giải thích các loại lỗi

Để cung cấp cho bạn bảng thuật ngữ rất nhanh về các danh mục lỗi quan trọng ở trên:

• Tràn bộ nhớ. Điều này có nghĩa là dữ liệu do kẻ tấn công cung cấp sẽ bị dồn vào một khối bộ nhớ không đủ lớn cho dung lượng đã được gửi đi. Nếu dữ liệu bổ sung cuối cùng “tràn ra” vào không gian bộ nhớ đã được các phần khác của phần mềm sử dụng, nó có thể (hoặc trong trường hợp này) ảnh hưởng có chủ ý và nguy hiểm đến hoạt động của trình duyệt.
• Nhập nhầm lẫn. Hãy tưởng tượng rằng bạn đang cung cấp dữ liệu chẳng hạn như “giá sản phẩm” mà trình duyệt được coi là một con số đơn giản. Bây giờ, hãy tưởng tượng rằng sau này bạn có thể lừa trình duyệt sử dụng số bạn vừa cung cấp như thể đó là địa chỉ bộ nhớ hoặc chuỗi văn bản. Một số đã vượt qua kiểm tra để đảm bảo rằng đó là giá hợp pháp có thể không phải là địa chỉ bộ nhớ hợp lệ hoặc chuỗi văn bản và do đó sẽ không được chấp nhận nếu không có mưu mẹo lén lút đưa nó vào dưới vỏ bọc của một kiểu dữ liệu khác. Bằng cách cung cấp dữ liệu “hợp lệ-khi-kiểm tra-nhưng-không hợp lệ-khi sử dụng”, kẻ tấn công có thể cố tình phá hoại hành vi của trình duyệt.
• Sử dụng sau khi miễn phí. Điều này có nghĩa là một phần của trình duyệt tiếp tục sử dụng một khối bộ nhớ không chính xác sau khi nó đã được giao lại cho hệ thống để tái phân bổ ở nơi khác. Do đó, dữ liệu đã được kiểm tra độ an toàn (bằng mã giả định rằng nó “sở hữu” bộ nhớ liên quan) có thể bị sửa đổi lén lút ngay trước khi nó được sử dụng, do đó ảnh hưởng nguy hiểm đến hoạt động của trình duyệt.

Phải làm gì?

Chrome có thể sẽ tự cập nhật, nhưng chúng tôi luôn khuyên bạn nên kiểm tra.

Trên Windows và Mac, sử dụng Hơn > Trợ giúp > Giới thiệu về Google Chrome > Cập nhật Google Chrome.

Trên Android, hãy kiểm tra xem các ứng dụng Cửa hàng Play của bạn có được cập nhật hay không.

Sau khi cập nhật, bạn đang tìm kiếm phiên bản 102.0.5005.148 nếu bạn đang sử dụng bản phát hành "ổn định mở rộng"; 103.0.5060.114 nếu bạn đang trên đường "ổn định"; và 103.0.5060.71 trên Android.

Trên Linux, chúng tôi không chắc số phiên bản cần tìm, nhưng bạn cũng có thể làm Trợ giúp > Giới thiệu > Cập nhật nhảy bảo mật, để đảm bảo bạn đã có phiên bản mới nhất ngay bây giờ.