به‌روزرسانی‌های امنیتی در آخرین نسخه کروم

گوگل چند آسیب‌پذیری سطح بالا را در مرورگر کروم برطرف کرد. در آخرین نسخه پایدار گوگل کروم (85.0.4183.121) که برای ویندوز، مک و لینوکس منتشر شده است، تعدادی حفره امنیتی وصله شده‌اند.

 به‌روزرسانی‌های امنیتی در آخرین نسخه کروم

شدیدترین این آسیب‌پذیری‌ها به گونه‌ای است که اگر مهاجم با موفقیت از آن بهره‌برداری کند، می‌تواند در قالب مرورگر (با سطح دسترسی مرورگر) کد اجرا کند. بسته به اینکه مرورگر چه سطحی از دسترسی را داشته باشد، مهاجم می‌تواند داده‌ها را ببیند، دست‌کاری کند یا پاک کند. اگر مرورگر طوری تنظیم شده باشد که روی سیستم دسترسی‌های کمتری داشته باشد، بهره‌برداری از این آسیب‌پذیری می‌تواند تأثیر کمتری بگذارد.

گوگل در توصیه امنیتی مربوط به این به‌روزرسانی، از رفع ده آسیب‌پذیری خبر داد که پنج مورد آن‌ها دارای شدت بالا هستند، اما جزئیات دقیق آن‌ها فعلاً منتشر نشده است، زیرا طبق معمول گوگل اطلاعات مربوط به آسیب‌پذیری را محدود نگه می‌دارد تا وقتی اکثر کاربران به‌روزرسانی را اعمال کنند. البته گوگل اعلام کرده است در صورتی که کاربر یک از یک صفحه بدخواه بازدید کند یا به آن redirect شود، می‌توان از این آسیب‌پذیری‌ها بهره‌برداری کرد.

یکی از آسیب‌پذیری‌های سطح بالا (CVE-2020-15960) خطای خواندن خارج از محدوده است که به storage API مربوط می‌شود. این آسیب‌پذیری سرریز بافر هیپ، می‌تواند به مهاجم راه دور اجازه دهد تا با استفاده از یک صفحه HTML که به طور خاص طراحی شده به بخش‌های خارج از محدوده حافظه دسترسی پیدا کند.

سه آسیب‌پذیری دیگر نیز به اعمال سیاست ناکافی برمی‌گردند. دو مورد از آن‌ها مربوط به ویژگی افزونه‌های کروم هستند (CVE-2020-15961 و CVE-2020-15963). مهاجم می‌تواند با استفاده از این آسیب‌پذیری‌ها افزونه مخربی ایجاد کند و اگر بتواند کاربر را برای نصب افزونه خود قانع کند، ممکن است بتواند از سندباکس بگریزد.

آسیب‌پذیری سوم از نوع اعمال سیاست ناکافی، در تابع serial کروم قرار دارد (CVE-2020-15962). ممکن است مهاجم بتواند با سوءاستفاده از این آسیب‌پذیری و با طراحی یک صفحه HTML خاص، دسترسی خارج از محدوده به حافظه پیدا کند.

در آخر، گوگل یک آسیب‌پذیری نوشتن خارج از محدوده در V8 را نیز برطرف کرده است (CVE-2020-15965). V8 یک موتور جاواسکریپت متن‌باز است که توسط پروژه کرومیوم برای مرورگرهای کروم و کرومیوم توسعه داده شده است. این آسیب‌پذیری ممکن است به مهاجم راه دور اجازه دهد از طریق یک صفحه HTML با طراحی خاص، دسترسی خارج از محدوده به حافظه پیدا کند.

به گفته گوگل گزارشی از سوءاستفاده از این آسیب‌پذیری‌ها در دنیای واقعی وجود ندارد. گوگل به کاربران کروم توصیه می‌کند که فوراً آخرین به‌روزرسانی پایدار (stable channel) را اعمال کنند و همچنین یادآوری می‌کند که از وب‌سایت‌های نامطمئن بازدید نکنید و روی لینک‌هایی که از منابع غیرمطمئن به دستتان رسیده کلیک نکنید.

منبع: threatpost

 

کلمات کلیدی