آسیبپذیریهای چندگانه در گوگل کروم و اجرای کد دلخواه
در تاریخ 4 سپتامبر 2018 آسیبپذیریهای متعددی در گوگل کروم کشف شدهاست که میتواند موجب اجرای کد دلخواه شود. گوگل کروم یک مروگر وب است که برای دسترسی به اینترنت استفاده میشود. درصورتیکه کاربر یک صفحه وب ساختگی مخرب را با استفاده از این مرورگر مشاهده یا به آن ریدایرکت شود، این آسیبپذیریها میتوانند مورد سوءاستفاده قرار گیرند. در شدیدترین حالت مهاجم میتواند به موارد زیر برای اجرا دسترسی داشته باشد. • امکان اجرای کد دلخواه در متن مرورگر • دسترسی به اطلاعات حساس • دور زدن محدودیتهای امنیتی • انجام اقدامات غیرمجاز • شرایط منع سرویس(DOS) در زیر جزییات آسیبپذیریها و شناسه این آسیبپذیریها آورده شدهاست. • Content security policy bypass in Blink. (CVE-2018-16077) • Credit card information leak in Autofill. (CVE-2018-16078) • Cross origin pixel leak in Chrome's interaction with Android's MediaPlayer. (CVE-2018-16072) • Integer overflow in Skia. (CVE-2018-16070) • Local file access in Blink. (CVE-2018-16075) • Local file access in DevTools. (CVE-2018-16081) • Out of bounds read in Blink. (CVE-2018-16066) • Out of bounds read in PDFium. (CVE-2018-16076) • Out of bounds read in SwiftShader. (CVE-2018-16069) • Out of bounds read in WebAudio. (CVE-2018-16067) • Out of bounds read in WebRTC. (CVE-2018-16083) • Out of bounds write in Mojo. (CVE-2018-16068) • Out of bounds write in V8. (CVE-2018-16065) • Out of bounds read in Little-CMS. • Site Isolation bypass after tab restore. (CVE-2018-16073) • Site Isolation bypass using Blob URLS. (CVE-2018-16074) • Stack buffer overflow in SwiftShader. (CVE-2018-16082) • URL spoof in full screen mode. (CVE-2018-16080) • URL spoof in permission dialogs. (CVE-2018-16079) • Use after free in Memory Instrumentation. (CVE-2018-16085) • Use after free in WebRTC. (CVE-2018-16071) • User confirmation bypass in external protocol handling. (CVE-2018-16084) نسخههای قبل از 69.0.3497.81 گوگل کروم تحتتأثیر این آسیبپذیری قرار دارند. و این تهدیدی برای سازمانهای کوچک و بزرگ، دولتی و غیردولتی خواهد بود. توصیهها • بهروزرسانی نسخه گوگل کروم که حتما باید از طریق کانالهای رسمی و معتبر گوگل انجام گیرد. • اجرای تمامی نرمافزارها با سطح دسترسی پایین (در حین اجرای نرمافزار سطح دسترسی بالا مانند ادمین به آن داده نشود) • به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند. • اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد • رعایت اصول حداقل حق دسترسی موردنیاز کاربران به سیستمها و سرویسها
مرکز ماهر
دانشگاه کردستان