Новая версия Chrome получила защиту от атак через уязвимость в crypt32.dll

5

В Chrome 79.0.3945.130 добавлен код для защиты от атак с эксплуатацией недавно исправленной уязвимости в Windows.

Новая версия Chrome получила защиту от атак через уязвимость в crypt32.dll


В четверг, 16 января, компания Google выпустила новую версию своего браузера Chrome 79.0.3945.130, в которой реализовала защиту от атак с эксплуатацией недавно исправленной уязвимости в Windows.

Речь идет об уязвимости CVE-2020-0601 в криптографической библиотеке crypt32.dll, о которой Microsoft стало известно от специалистов Агентства национальной безопасности США. С ее помощью злоумышленник может создать TLS-сертификат или цифровую подпись для кода и осуществить спуфинг любого сайта в интернете. Проблема была исправлена производителем с выходом январских обновлений безопасности. На следующий же день после выхода патча была представлена PoC-атака с эксплуатацией уязвимости.

В новую версию Chrome был добавлен код, позволяющий браузеру более глубоко изучить целостность цифрового сертификата сайта, прежде чем позволить пользователю на него зайти. По словам разработчика кода, специалиста Google Райана Сливи (Ryan Sleevi), новая функция дополнительной проверки сертификатов не безупречна, но является хорошим временным решением, пока пользователи устанавливают обновления на свои Windows-устройства, а Google работает над более совершенными технологиями проверки.

«Она (новая функция – ред.) не идеальна, но ее вполне достаточно для проверки безопасности до тех пор, пока мы не перейдем на наш инструмент верификации или не усилим блокировку модулей 3P, даже для CAPI», – сообщил Сливи.

Источник