بدون معطلی مرورگر کروم را آپدیت کنید!

کلمنت لسین عضو گروه تحلیل و بررسی گوگل و محقق امنیت سایبری، در اواخر ماه قبل یک نقطه ضعف خطرناک در کروم را کشف و گزارش کرد، این نقطه ضعف به مهاجم اجازه می ­دهد دستورالعمل مخربیاز راه دور اجرا کند و کنترل کامل کامپیوترها را به دست بگیرد.

این نقطه ضعف که CVE-2019-5786 نامگذاری شده است، مرورگر تمامی سیستم عامل ­های اصلی از جمله مایکروسافت ویندوز، سیستم عامل مک شرکت اپل و لینوکس را تحت تاثیر قرار می­ دهد.

گروه امنیتی کروم بدون آشکار سازی جزئیات فنی این نقطه ضعف، اعلام کرد که خطای Use-after-free (استفاده از حافظه پس از آزاد شدن آن) در مکمل FileReader کروم قرار دارد که منجر به حملاتی با قابلیت اجرای دستورالعمل های ریموت می­ گردد.

نگران کننده ­تر این است که گوگل هشدار داد این خطای روز صفر در حال حاظر توسط مهاجمین استفاده می ­شود.

گروه امنیتی کروم بیان کرد که: جزئیات این خطا تا زمانی که اکثر کاربران مرورگر خود را آپدیت نکرده اند، در دسترس عموم قرار داده نخواهد شد. علاوه بر این در صورت مشاهده این ایراد در کتابخانه­ برنامه­ های دیگر باز هم به جلوگیری از درز اطلاعات ادامه خواهیم داد.

FileReader یک واسط است که به برنامه­ های اینترنتی اجازه می ­دهد مضمون فایل­های ذخیره شده در کامپیوتر کاربر را بخواند. این واسط از فایل یا بلاب برای شناسایی فایل ها یا داده ها و خواندن آنها استفاده می ­کند.

خطای Use-after-free یک خطای حافظه ای است که اجازه می ­دهد داده ها در حافظه تخریب شده یا تغییر یابند، و به یک کاربر غیر مجاز اجازه می­ دهد تا در دستگاه یا برنامه مورد نظر دستکاری ایجاد کند.

این خطا به مهاجمین غیرمجاز اجازه دسترسی به مرورگر کروم را می­ دهد، که منجر به فرار آنها از دست تدابیر امنیتی Sandbox  می­شود و  در نتیجه قادر خواهند بود دستورالعمل مخرب خود را در سیستم مورد نظر اجرا ­کنند.

این گونه به نظر می ­آید که برای بهره گیری از این نقطه ضعف مهاجم تنها باید قربانی را مجاب می­ کند تا یک صفحه طراحی شده مخصوص را باز کند یا به نحوی او را به این صفحه هدایت کند.

بسته نرم ­افزاری امنیتی با نام Chrome 72.0.3626.121 برای سیستم عامل ­های ویندوز، مک و لینوکس عرضه شده که کاربران می ­توانند آن را دریافت کنند.

بنابراین، مطمئن شوید که کامپیوتر شما با نسخه بروز شده کروم کار می­ کند.

نظرات

نظر (به‌وسیله فیس‌بوک)