اصلاح آسیب‌پذیری شاخه‌ی مرورگر کروم در ضدبدافزار Avast

ضدبدافزار Avast یک آسیب‌پذیری‌ را در شاخه‌های مرورگر کروم خود اصلاح و تعمیر نمود، و کار جالب دیگر این‌که این آسیب‌پذیری به نفوذگرها اجازه می‌دهد که به طور کامل سکو را رمزگشایی کنند.
مرورگر safezone متعلق به Avast به محصولات امنیتی ۲۰۱۶ افزوده شده است، و مبتنی بر شاخه‌ی Avastium کروم و البته از google-spawn می‌باشد.
محقق گوگل، تاویس اورماندی می‌گوید که این Safezone به نفوذگر اجازه می‌دهد تا تاریخچه‌ی وب، گذرواژه‌های کاربر و هر چیز دیگری را که در برنامه‌ی کاربردی ذخیره شده است، پاک کند.
دی‌فایل‌کننده‌‌ی نرم‌افزار سریال روژه صفر گوگل، Avestium را مورد انتقاد قرار داده و به نفوذگرها این اجازه را می‌دهد که از یک پیوند اثبات مفهوم استفاده کنند تا مرورگر پنهان‌شده را، حتی هنگامی که غیرفعال شده است، به کار گیرند.
اورماندی می‌گوید: «این مورد خیلی پیچیده است اما به نفوذگر اجازه می‌دهد که هر پرونده‌ای را روی سامانه با تنها یک کلیک روی پیوند بخواند.»
شما حتی لازم نیست نام یا مسیر پرونده را داشته باشید، چون می‌توانید با استفاده از این حمله، فهرست‌بندی راهنما را دوباره به دست آورید.
علاوه بر این، می‌توانید به طور اختیاری درخواست‌های HTTP تصدیق‌شده را بفرستید و پاسخ‌هایی را بخوانید که یک به نفوذگر اجازه می‌دهد که کوکی‌ها، رایانامه‌ها، اثرات متقابل با بانک‌داری برخط و غیره را بخواند.
اورماندی این نقص را در ماه دسامبر آشکار کرد و این هفته آن را در معرض دستر‌س عموم قرار داد تا بتوان راهی برای اصلاح آن یافت.
Avast این اصلاح را تعمیرات امنیتی در کنار پیشرفت‌های دیگر می‌نامد.
این دومین پورت مرورگری است که اورماندی این هفته شدیداً مورد انتقاد قرار داد. وی بر روی شاخه‌ی کروم پنهان‌شده به نام Chromodo کار می‌کرد که تنظیمات DNS را دست‌کاری می‌کنند و به طور نامأنوسی سیاست یک منبعی کروم را غیرفعال می‌کند که این کار از این‌که عوامل بیرونی اطلاعات یک‌دیگر را بخوانند جلوگیری می‌کند.
بدتر از آن وب خودش را به عنوان وب پیش‌فرض تنظیم می‌کند و اطلاعات کروم را به گونه‌ای شناور می‌کند که چیزهای واقعی را شبیه‌سازی می‌کند اما امنیت واقعی آن را نه.
محققان امنیتی پیشنهاد می‌دهند که کاربران از پورت‌های مرورگر استفاده نکنند و تنها از مرورگرهایی استفاده کنند که به خوبی حمایت می‌شوند و کامل و معروف می باشند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.