این نخستین بهروزرسانی برای مرورگرهای Google و Mozilla در سال ۲۰۱۹ است که با ارتقای ویژگیهای امنیتی و وصلهی آسیبپذیریها در مرورگرهای کروم و فایرفاکس برای سیستمعاملهای ویندوز، مک و لینوکس همراه بوده است. اما برای امنیت نسخهی ۷۲ Chrome موارد حذفشده، بیشتر از آن چیزی است که اضافهشده است.
یکی از این تغییرات، کاهش پشتیبانی از پروتکلهای منسوخ نظیر TLS 1.0 و ۱.۱ با چشماندازی مبنی بر حذف کامل پشتیبانی در نسخهی ۸۱ Chrome است که برای اوایل سال آینده برنامهریزیشده است (بهطور مشابه برای Firefox، Microsoft Edge و Safari شرکت اپل نیز اعمال خواهد شد). این موضوع به توسعهدهندگان مربوط میشود و نه کاربران که هنوز قادر به اتصال به تعداد اندکی از سایتها با استفاده از TLS 1.0 / 1.1 برای یک سال دیگر خواهند بود.
بااینوجود استانداردی که بهطور کامل در نسخهی ۷۲ Chrome حذفشده است، HTTP-Based Public Key Pinning (HPKP) است که در سال در نسخه ۶۷ نیز نارضایتی از این استاندارد اعلامشده بود.
اصلاحات امنیتی
نسخهی ۷۲ Chrome اصلاح ۵۸ مشکل امنیتی سطح CVE، ازجمله ۱۷ مورد “شدید” و یک مورد “بحرانی” را که با CVE-2019-5754 شناخت میشود برطرف نموده است.
در ادامهی برنامهی ششهفتهای، نسخهی بعدی Chrome یعنی نسخهی ۷۳، در تاریخ ۱۲ مارس و نسخهی ۷۴ آن در تاریخ ۲۳ آوریل منتشر خواهد شد. در بخشی از این بهروزرسانی، Chrome هنگام بازدید از وبسایتهایی که URL آنها مشابه وبسایتهای محبوب است، به کاربران هشدار میدهد.
Firefox 69
اگرچه پیشازاین تنظیمات انسداد محتوا برای Firefox پشتیبانی میشد، اما همچنان هفت CVE شامل سه آسیبپذیری بحرانی و یک آسیبپذیری شدید وصله شدهاند.
آسیپذیریهای بحرانی شامل CVE-2018-18500 (گزارششده توسط Yaniv Frank محقق آزمایشگاه Sophos) به شرح زیر است:
“آسیبپذیری آزادسازی پس از استفاده (use-after-free) که میتواند هنگام تجزیهی یک جریان HTML5 در هماهنگی با عناصر HTML سفارشی رخ دهد.”
همچنین آسیبپذیریهای CVE-2018-18501 و CVE-2018-18502، که هر دو نقص امنیتی حافظه به شمار میروند، CVE-2018-18504 که یک موضوع خرابی حافظه بوده و CVE-2018-18505 که افزایش اعتباری است که ارتباطات بین پردازهای (Inter-process Communications ) را تحت تأثیر قرار میدهد، برطرف شدهاند. در ادامهی بحث حافظه، نسخههای لینوکس، macOS و اندروید در برابر آسیبپذیری “stack smashing” که مهاجمان میتوانند از آن برای کنترل فرایند مرورگر استفاده کنند، محافظتشدهاند.
مطالب مرتبط:
امکان امنیتی جدید در مرورگر فایرفاکس
آسیبپذیری بحرانی در SQLite میلیونها کاربر را تهدید میکند
مراقب باشید! مرورگر Safari به هکر اجازه جعل آدرس می دهد
منبع: Naked Security
