آسیبپذیریهای چندگانه گوگل کروم و اجازه اجرای کد دلخواه
اخیراً آسیبپذیریهای چندگانهای در گوگل کروم کشف شده که تعدادی از آنها باعث اجرای کد دلخواه خواهد شد. میدانیم که گوگل کروم مرورگر وب است که برای دسترسی به اینترنت استفاده میشود. از این آسیبپذیریها اگر یک کاربر صفحهای را مشاهده کرده و یا به یک صفحه خاص هدایت شود، میتوان از کاربر سوء استفاده کرد. در صورت بهرهبرداری موفق از بسیاری از این نوع آسیبپذیریها میتوان به یک مهاجم اجازه اجرای کد دلخواه را در محتوای مرورگر داد که باعث میشود مهاجم اطلاعات حساس را به سرقت ببرد، محدودیتهای امنیتی را بشکند و اقدامات غیر مجاز انجام داده و یا باعث از دسترس خارج کردن سرویسها شود. نسخههای گوگل کروم قبل از 66.03359.117 در معرض این آلودگی هستند. همچنین درجه ریسک این آسیبپذیری برای سازمانهای دولتی و مراکز حساس بالا، برای کسب و کارهای کوچک متوسط و برای کاربر خانگی درجه ریسک پایین گزارش شده است. لیست CVE ها و توضیح هر کدام به صورت زیر است: • Use after free in Disk Cache (CVE-2018-6085, CVE-2018-6086). • Use after free in WebAssembly (CVE-2018-6087). • Use after free in PDFium (CVE-2018-6088). • Same origin policy bypass in Service Worker (CVE-2018-6089). • Heap buffer overfin Skia (CVE-2018-6090). • Incorrect handling of plug-ins by Service Worker (CVE-2018-6091). • Integer overfin WebAssembly (CVE-2018-6092). • Same origin bypass in Service Worker (CVE-2018-6093). • Exploit hardening regression in Oilpan (CVE-2018-6094). • Lack of meaningful user interaction requirement before file upload (CVE-2018-6095). • Fullscreen UI spoof (CVE-2018-6096, CVE-2018-6097). • URL spoof in Omnibox (CVE-2018-6098, CVE-2018-6100, CVE-2018-6102, CVE-2018-6104, CVE-2018-6105, CVE-2018-6107, CVE-2018-6108). • CORS bypass in ServiceWorker (CVE-2018-6099). • Insufficient protection of remote debugging prototol in DevTools (CVE-2018-6101). • UI spoof in Permissions (CVE-2018-6103). • Incorrect handling of promises in V8 (CVE-2018-6106). • Incorrect handling of files by FileAPI (CVE-2018-6109). • Incorrect handling of plaintext files via file (CVE-2018-6110). • Heap-use-after-free in DevTools (CVE-2018-6111). • Incorrect URL handling in DevTools (CVE-2018-6112). • URL spoof in Navigation (CVE-2018-6113). • CSP bypass (CVE-2018-6114). • SmartScreen bypass in downloads (CVE-2018-6115). • Incorrect memory handling in WebAssembly (CVE-2018-6116). • Confusing autofill settings (CVE-2018-6117). • Incorrect use of Distributed Objects in Google Software Updater on MacOS (CVE-2018-6084).
مرکز ماهر
دانشگاه کردستان