انتشار بهروزرسانی مهم گوگل کروم: آسیبپذیری اجرای کد دلخواه در گوگل کروم
خلاصه آسیبپذیری: یک آسیبپذیری در گوگل کروم کشف شده که میتواند موجب اجرای کد دلخواه شود. گوگل کروم یک مرورگر وب است که برای دسترسی به اینترنت استفاده میشود. بهرهبرداری موفق از این آسیبپذیری میتواند به مهاجم اجازه دهد کد دلخواه خود را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم میتواند برنامهای را نصب کند، به دادهها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. اگر این برنامه در سیستم با حقوق کاربری کمتری پیکربندی شده باشد، بهرهبرداری از شدیدترین این آسیبپذیریها میتواند تأثیر کمتری داشته باشد، مگر اینکه با حقوق administrative پیکربندی شود. کانال پایدار برای ویندوز، مک و لینوکس به 70.0.3538.110 بهروزرسانی شده است. نسخههای قبل از 70.0.3538.110 گوگل کروم تحت تأثیر این آسیبپذیری قرار دارند. سطح ریسک این آسیبپذیری برای سازمانهای دولتی و خصوصی در حد متوسط به بالا است. در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیبپذیری دریافت نشده است. شناسه آسیبپذیری: CVE-2018-17479 درجه حساسیت: High توضیحات: این آسیبپذیری میتواند به مهاجم اجازه دهد کد دلخواه خود را در متن مرورگر اجرا کند. این آسیبپذیری ناشی از نقص استفاده پس از آزادسازی حافظه (use-after-free) در GPU است. توصیهها • به کاربران گوگل کروم به شدت توصیه میشود تا آن را به آخرین نسخه به روزرسانی کنید. • برای کاهش اثر حملات گوگل کروم را با سطح دسترسی پایین اجرا کنید.(کاربری غیر از administrative) • به کاربران خود یادآوری کنید که از وبسایتهای غیرقابل اعتماد بازدید نکرده و همچنین لینکهایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند. • اطلاعرسانی و آموزش کاربران در مورد خطرات لینکها یا فایلهای پیوست شده در ایمیلها به ویژه از منابع غیرقابل اعتماد • رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستمها و سرویسها
مرکز ماهر
دانشگاه کردستان