به‌روزرسانی

به‌روزرسانی مهم: فایرفاکس و کروم رخنه‌های امنیتی را وصله کردند

این نخستین به‌روزرسانی برای مرورگرهای Google و Mozilla در سال ۲۰۱۹ است که با ارتقای ویژگی‌های امنیتی و وصله‌ی آسیب­‌پذیری­‌ها در مرورگرهای کروم و فایرفاکس برای سیستم­‌عامل­‌های ویندوز، مک و لینوکس همراه بوده است. اما برای امنیت نسخه‌ی ۷۲ Chrome موارد حذف‌شده، بیشتر از آن چیزی است که اضافه‌شده است.

یکی از این تغییرات، کاهش پشتیبانی از پروتکل‌های منسوخ نظیر TLS 1.0 و ۱.۱ با چشم­‌اندازی مبنی بر حذف کامل پشتیبانی در نسخه­‌ی ۸۱ Chrome است که برای اوایل سال آینده برنامه‌ریزی‌شده است (به‌طور مشابه برای Firefox، Microsoft Edge و Safari شرکت اپل نیز اعمال خواهد شد). این موضوع به توسعه‌دهندگان مربوط می­‌شود و نه کاربران که هنوز قادر به اتصال به تعداد اندکی از سایت­‌ها با استفاده از TLS 1.0 / 1.1 برای یک سال دیگر خواهند بود.

بااین‌وجود استانداردی که به‌طور کامل در نسخه­‌ی ۷۲ Chrome حذف‌شده است، HTTP-Based Public Key Pinning (HPKP) است که در سال در نسخه ۶۷ نیز نارضایتی از این استاندارد اعلام‌شده بود.

اصلاحات امنیتی

نسخه‌ی ۷۲ Chrome اصلاح ۵۸ مشکل امنیتی سطح CVE، ازجمله ۱۷ مورد “شدید” و یک مورد “بحرانی” را که با CVE-2019-5754 شناخت می‌شود برطرف نموده است.

در ادامه‌ی برنامه‌ی شش‌هفته‌ای، نسخه‌ی بعدی Chrome یعنی نسخه‌ی ۷۳، در تاریخ ۱۲ مارس و نسخه‌ی ۷۴ آن در تاریخ ۲۳ آوریل منتشر خواهد شد. در بخشی از این به‌روزرسانی، Chrome هنگام بازدید از وب‌سایت‌هایی که URL آن­‌ها مشابه وب­‌سایت­‌های محبوب  است، به کاربران هشدار می­‌دهد.

Firefox 69

اگرچه پیش‌ازاین تنظیمات انسداد محتوا برای Firefox پشتیبانی می‌شد، اما همچنان هفت CVE شامل سه آسیب‌پذیری بحرانی و یک آسیب‌پذیری شدید وصله شده‌اند.

آسی‌­پذیری‌های بحرانی شامل CVE-2018-18500 (گزارش‌شده توسط Yaniv Frank محقق آزمایشگاه Sophos) به شرح زیر است:

“آسیب­‌پذیری آزادسازی پس از استفاده (use-after-free) که می‌تواند هنگام تجزیه‌ی یک جریان HTML5 در هماهنگی با عناصر HTML سفارشی رخ دهد.”

همچنین آسیب­پذیری­های CVE-2018-18501 و CVE-2018-18502، که هر دو نقص امنیتی حافظه به شمار می‌روند، CVE-2018-18504 که یک موضوع خرابی حافظه بوده و CVE-2018-18505 که افزایش اعتباری است که ارتباطات بین پردازه‌ای (Inter-process Communications ) را تحت تأثیر قرار می‌دهد، برطرف شده‌اند. در ادامه‌ی بحث حافظه، نسخه­‌های لینوکس، macOS و اندروید در برابر آسیب­‌پذیری “stack smashing” که مهاجمان می‌توانند از آن برای کنترل فرایند مرورگر استفاده کنند، محافظت‌شده‌اند.

مطالب مرتبط:
امکان امنیتی جدید در مرورگر فایرفاکس
آسیب‌پذیری بحرانی در SQLite میلیون‌ها کاربر را تهدید می‌کند
مراقب باشید! مرورگر Safari به هکر اجازه جعل آدرس می دهد

منبع: Naked Security

به‌روزرسانی مهم: فایرفاکس و کروم رخنه‌های امنیتی را وصله کردند

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top