В Chrome 79.0.3945.130 добавлен код для защиты от атак с эксплуатацией недавно исправленной уязвимости в Windows.
В четверг, 16 января, компания Google выпустила новую версию своего браузера Chrome 79.0.3945.130, в которой реализовала защиту от атак с эксплуатацией недавно исправленной уязвимости в Windows.
Речь идет об уязвимости CVE-2020-0601 в криптографической библиотеке crypt32.dll, о которой Microsoft стало известно от специалистов Агентства национальной безопасности США. С ее помощью злоумышленник может создать TLS-сертификат или цифровую подпись для кода и осуществить спуфинг любого сайта в интернете. Проблема была исправлена производителем с выходом январских обновлений безопасности. На следующий же день после выхода патча была представлена PoC-атака с эксплуатацией уязвимости.
В новую версию Chrome был добавлен код, позволяющий браузеру более глубоко изучить целостность цифрового сертификата сайта, прежде чем позволить пользователю на него зайти. По словам разработчика кода, специалиста Google Райана Сливи (Ryan Sleevi), новая функция дополнительной проверки сертификатов не безупречна, но является хорошим временным решением, пока пользователи устанавливают обновления на свои Windows-устройства, а Google работает над более совершенными технологиями проверки.
«Она (новая функция – ред.) не идеальна, но ее вполне достаточно для проверки безопасности до тех пор, пока мы не перейдем на наш инструмент верификации или не усилим блокировку модулей 3P, даже для CAPI», – сообщил Сливи.
Одно найти легче, чем другое. Спойлер: это не темная материя