گوگل یک بروز رسانی فوری را برای مرورگر کروم منتشر کرده وتاکید فراوانی بر این دارد که کاربران ویندوز ،لینوکس و مک هرچه سریعتر این برنامه را به آخرین نسخه ارائه شده بروز رسانی کنند.

این موضوع چهارشنبه گذشته از طرف گوگل اعلام شد. نسخه ۷۷.۰.۳۸۶۵.۹۰ کروم حاوی پچ های امنیتی برای یک مورد آسیب پذیری بحرانی و سه مورد آسیب پذیری با ریسک بالاست  که بدترین مورد آن به هکر اجازه بدست گرفتن کنترل سیستم از راه دور را میدهد.

گوگل به منظور جلوگیری از اکسپلویت شدن این چهار مورد آسیب پذیری توسط هکر ها تصمیم گرفته تا چند روز جزئیات آنها را فاش نکند وکاربران وقت کافی برای نصب بروز رسانی ارائه شده داشته باشند.

ففط تا اینجای کار تیم امنیتی گوگل مشخص کرده که تمام این چهار مورد آسیب پذیری از نوع use-after-free هستند که در اجزای مختلف مرورگر وجود دارند وخطرناک ترین آن می تواند به حمله RCE منجر شود.

آسیب پذیری های use-after-free کلاسی از موارد memory corruption هستند که به تصرف و دستکاری اطلاعات در حافظه می انجامند ودر نهایت یک کاربر بدون مجوز از این طریق می تواند سطح دسترسی ها را در سیستم و یا نرم افزار مربوطه ارتقا دهد.

آسیب پذیری هایی که در کروم ۷۷.۰.۳۸۶۵.۹۰ پچ شده اند عبارتند از:

 

  • CVE-2019-13685 مورد use-after-free در UI که توسط Khalil Zhani شناسایی شده.
  • CVE-2019-13688 مورد use-after-free در مدیا که توسط Man Yue Mo از تیم تحقیقات امنیت سایبری Semmle
  • CVE-201913687  مورد use-after-free در مدیا که توسط Man Yue Mo از تیم تحقیقات امنیت سایبری Semmle
  • CVE-2019-13686 مورد use-after-free در صفحات آفلاین که توسط Brendon Tiszka شناسایی شده.

گوگل مبلغ ۴۰.۰۰۰ دلار پاداش را برای شناسایی دو مورد آسیب پذیری به Man Yue Mo پرداخت کرده وبرای دو مورد دیگر هنوز تصمیمی گرفته نشده.

در صورتیکه اکسپلویت کردن موفق باشد هکر میتواند با اجرای کد arbitrary کاربر را ترغیب کند که صفحه ای بخصوص را باز کند ویا کاربر را به این صفحه راهنمایی کند بدون اینکه تعامل دیگری با کاربر برای ترتیب دادن حمله نیاز باشد.

بنابر یافته های گذشته آسیب پذیری use-after-free بسته به دسترسی های مرتبط با برنامه می تواند به افشای اطلاعات حساس ،عبور از موانع امنیتی ،فعالیت های بدون مجوز و ایجاد شرایط برای Denial-of-Service شود.

با اینکه مرورگر کروم بطور خودکار به کاربر در مورد آخرین نسخه در دسترس اطلاع رسانی می کند ولی به کاربران توصیه میشود بصورت دستی با رفتن به منوی Help و بعد از آن About Google Chrome فرایند بروز رسانی را فعال کنند.