انتشار بهروزرسانی مربوط به یک آسیبپذیری در گوگل کروم که میتواند منجر به اجرای کد دلخواه شود. (انتشار 03/04/2019)
خلاصه آسیبپذیری یک آسیبپذیری در گوگل کروم کشف شده است که میتواند موجب اجرای کد دلخواه شود. گوگل کروم یک مرورگر وب است که برای دسترسی به اینترنت استفاده میشود. اگر کاربر یک صفحه وب ساختگی و جعلی را مشاهده کند و یا به آن صفحه وب هدایت شود، این آسیبپذیری میتواند مورد سوءاستفاده قرار بگیرد. این آسیبپذیری با شناسه CVE-2019-5786 شناخته میشود و به دلیل شرایط use-after-free در FileReader است. بهرهبرداری موفق از این آسیبپذیری میتواند منجر به اجرای کد دلخواه در محتوای مرورگر شود. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. اگر حساب کاربران با حقوق کاربری پایینتری پیکربندی شدهباشد بهرهبرداری از این آسیبپذیری میتواند تاثیر کمتری داشتهباشد، مگر اینکه با حقوق administrative تنظیم شود. سطح ریسک این آسیبپذیریها برای سازمانهای دولتی و خصوصی متوسط و زیاد است. نسخههای تحتتأثیر • گوگل کروم قبل از نسخه 72.0.3626.121 توصیهها • بهروزرسانی ارائه شده توسط گوگل کروم را سریعاً نصب کنید. • برای کاهش اثر حملات، تمام نرمافزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید. • به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند. • کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد مطلع گشته و آموزش داده شوند. • اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها مورد توجه قرار گیرد.
مرکز ماهر
دانشگاه کردستان