کروم
به‌روزرسانی

مرورگر Google Chrome را به روزرسانی کنید تا از نقایص امنیتی بحرانی در امان باشید

شرکت گوگل، به تازگی برای مرورگر Chrome، یک به‌روزرسانی فوری منتشر کرده و از کاربران Windows، Mac و Linux خواسته بلافاصله این مرورگر را به جدیدترین نسخه موجود ارتقا دهند.

نسخه ۷۷.۰.۳۸۶۵.۹۰ مرورگر Chrome، که از ۲۷ شهریور در اختیار کاربران قرار گرفت، شامل وصله‌های امنیتی برای یک آسیب‌پذیری بحرانی و سه آسیب‌پذیری سطح بالا است که مخرب‌ترین آنها به مهاجمان اجازه می‌دهد تا یک سیستم آلوده را از راه دور کنترل کنند.

شرکت گوگل جهت جلوگیری از سوءاستفاده هکرها و دادن زمان کافی به کاربران برای نصب به‌روزرسانی، تصمیم گرفته است تا جزئیات این ۴ آسیب‌پذیری را مخفی نگه دارد.

در حال حاضر، تیم امنیتی Chrome فقط فاش کرده است که هر چهار آسیب‌پذیری ناشی از مشکلات use-after-free (استفاده از حافظه پس از آزادسازی آن) در مولفه‌های مختلف مرورگر که در ادامه ذکرشده اند، هستند که در حالت بحرانی منجر به حمله‌های اجرای کد از راه دور می‌شوند.

آسیب‌پذیری use-after-free، دسته ای از مشکلات مربوط به حافظه است که اجازه‌ی تغییر و فاسدکردن داده‌های موجود در حافظه را می‌دهد. یک کاربر بدون مجوز دسترسی، با بهره‌گیری از این آسیب‌پذیری می‌تواند اقدام به افزایش سطح دسترسی خود در سیستم آلوده نماید.

آسیب‌پذیری‌های وصله‌شده در نسخه ۷۷.۰.۳۸۶۵.۹۰ مرورگر Chrome:

  • Use-after-free در رابط کاربری (CVE-2019-13685) – گزارش‌شده توسط Khalil Zhani
  • Use-after-free در مدیا (CVE-2019-13688) – گزارش‌شده توسط Man Yue Mo از تیم تحقیقات امنیتی Semmle
  • Use-after-free در مدیا (CVE-2019-13687) – گزارش شده توسط Man Yue Mo از تیم تحقیقات امنیتی Semmle
  • Use-after-free در صفحات آفلاین (CVE-2019-13686) – گزارش شده توسط Brendon Tiszka

گوگل مبلغ ۴۰،۰۰۰ دلار پاداش به Man Yue Mo برای هر دو آسیب‌پذیری پرداخت کرده است – ۲۰،۰۰۰ دلار برای CVE-2019-13688 و ۲۰،۰۰۰ دلار برای CVE-2019-13687 – درحالی که جایزه‌ای برای دو آسیب‌پذیری دیگر تعیین نشده است.

سوءاستفاده موفقیت‌آمیز از این آسیب پذیری‌ها می‌تواند به یک مهاجم اجازه دهد تا فقط با متقاعدکردن قربانیان به بازکردن یک صفحه‌ی جعلی و یا هدایت آنها به این صفحات بر روی مرورگر آلوده Chrome، کد دلخواه خود را داخل مرورگر اجرا کنند.

با توجه به اطلاعات قبلی، نقص use-after-free همچنین می‌تواند منجر به افشای اطلاعات حساس، دور زدن محدودیت‌های امنیتی، اقدامات غیرمجاز و ایجاد شرایط DOS (بسته به سطوح دسترسی مرتبط با نرم‌افزار) شود.

اگرچه مرورگر Chrome به‌طور خودکار کاربران را از آخرین نسخه‌های موجود آگاه می‌سازد، به کاربران توصیه می‌شود با مراجعه به منوی مرورگر، زبانه Help و گزینه “About Google Chrome”، روند به‌روزرسانی را به‌صورت دستی اجرا کنند.

علاوه بر این، به شما توصیه می‌شود، در صورت امکان تمام نرم‌افزارها را روی سیستم خود به‌عنوان یک کاربر با کم‌ترین سطح دسترسی اجرا کنید تا خطر حملات موفقیت‌آمیز را که ممکن است از انواع آسیب‌پذیری روزصفر سوءاستفاده ‌کنند، کاهش دهید.

مطالب مرتبط:
به‌روزرسانی امنیتی Google Chrome
به‌روزرسانی امنیتی جدید Google برای Chrome
به‌روزرسانی مرورگر Chrome به نسخه ۶۴

منبع: The Hacker News

مرورگر Google Chrome را به روزرسانی کنید تا از نقایص امنیتی بحرانی در امان باشید

آگاهی رسانی، پشتیبانی و امداد رایانه‌ای در حوزه امنیت فضای تبادل اطلاعات

cert.znu.ac.ir
certoffice@znu.ac.ir
TelFax: 024-33054210

خدمات مرکز آپا:


  • آزمون نفوذ و کشف آسیب پذیری
  • رسیدگی به حوادث شبکه‌های رایانه‌ای
  • ارائه مشاوره در زمینه امنیت
  • ارزیابی امنیت و صدور گواهی‌نامه
  • امن‌سازی اتوماسیون صنعتی
  • انجام طرح‌های پژوهشی در زمینه امنیت
  • برگزاری دوره‌های تخصصی آموزشی ویژه مدیران و کارشناسان سازمان‌ها
To Top