آسیبپذیریهای چندگانه گوگل کروم و اجازه اجرای کد دلخواه
شناسه MS-ISAC: 055-2018 تاریخ انتشار: 11/5/2018 آسیبپذیریهای چندگانه در گوگل کروم کشف شده است که موارد بحرانی از این آسیبپذیریها اجازه اجرای کد دلخواه را خواهند داد. گوگل کروم یک مرورگر برای دسترسی به اینترنت است. این آسیبپذیریها در هنگام بازدید کاربر یا هدایت او به یک صفحه وب عمل میکنند. بهرهبرداری موفق از این آسیبپذیریها به مهاجم اجازه اجرای کد دلخواه در محتوای مرورگر، دستیابی به اطلاعات حساس، دور زدن محدودیتهای امنیتی و انجام عملیات غیرمجاز را میدهند. این آسیبپذیریها بر سیستمهای زیر اثر میگذارند: گوگل کروم ورژنهای قبل از 66.0.3359.170 درجه ریسک برای دولتها: • برای دولتها با اندازه متوسط و بزرگ: بالا • برای دولتها با اندازه کوچک: متوسط برای تجارتها: • برای تجارتهای متوسط و بزرگ: بالا • برای تجارتهای کوچک: متوسط برای کاربران: بالا خلاصه فنی آسیبپذیریهای چندگانه در گوگل کروم کشف شده است که موارد بحرانی از این آسیبپذیریها اجازه اجرای کد دلخواه را خواهند داد. گوگل کروم یک مرورگر برای دسترسی به اینترنت است. این آسیبپذیریها در هنگام بازدید کاربر یا هدایت او به یک صفحه وب عمل میکنند. جزئیات این آسیبپذیری در زیر آمده است: • سرریز بافر در PDFium (CVE-2018-6120) • افزایش امتیازات سطح دسترسی در افزونهها (CVE-2018-6121) • انواع مبهم در V8 (CVE-2018-6122) • زنجیرههایی که منجر به فرار از جعبه شنی خواهند شد. توصیهها ما راهکارهای زیر را توصیه میکنیم: • بروزرسانیها را از کانالهای پایدار گوگل فراهم شده برای سیستمهای آسیبپذیر بعد از یک تست مناسب، اعمال کنید. • به کاربران یادآوری نمایید که از وبسایتهای غیرمعتبر استفاده نکنند یا لینکهای ارائهشده توسط منابع ناشناخته یا غیرمعتبر را دنبال نکنند. • همه نرم افزارها را به عنوان یک کاربر با سطح دسترسی پایین، برای کاهش اثرات یک حمله موفق اجرا نمایید. • به کاربران آموزش دهید که به خطرهای ناشی از لینکهای موجود در ایمیلها یا پیوستها به ویژه از منابع غیرقابل اعتماد توجه کنند. • از قاعده کمترین امتیازات برای تمامی سیستمها و سرویسها تبعیت کنید.
مرکز ماهر
دانشگاه کردستان