به‌روزرسانی جدید مرورگر کروم: ۱۲ آسیب‌پذیری جدی وصله شد

۳گوگل اصرار دارد تا کاربران ویندوز، لینوکس و مک هرچه سریع‌تر مرورگر کروم خود را برای وصله‌ی چند آسیب‌پذیری به‌روزرسانی کنند. گوگل معتقد است بهره‌برداری از این آسیب‌پذیری‌ها به مهاجم اجازه می‌دهد کنترل کامل دستگاه قربانی را در دست بگیرد.

نسخه‌ی ۵۵.۰.۲۸۸۳.۷۵ کروم که روز پنج‌شنبه برای سامانه‌های عامل ویندوز، مک و لینوکس منتشر شد این آسیب‌پذیری‌ها را وصله کرده است. در این نسخه همچنین ویژگی‌های جدیدی اضافه شده که از حرکت سوژه‌ی متحرک و فاصله‌گذاری خودکار در CSS پشتیبانی می‌کند.

گروه آپای آمریکا به همراه گوگل روز پنج‌شنبه اطلاعیه‌ای را در خصوص به‌روزرسانی کروم منتشر کرده است که در آن به فهرست ۲۶ پرداخت پاداش در ازای اشکال اشاره شده است. به‌طور کلی ۷۰ هزار دلار به محققان خارج از گوگل پرداخت شده است. به گفته‌ی گوگل ۱۰ آسیب‌پذیری دیگر توسط محققان گوگل مورد بررسی قرار گرفته است.

در رأس این فهرست، ۱۲ آسیب‌پذیری با شدت بالا قرار دارد. ۵ مورد از این اشکالات مربوط به آسیب‌پذیری XSS است که در مؤلفه‌ی Blink کروم وجود دارد. این مؤلفه یک ماشین مرورگر وب است که تحت پروژه‌ی متن‌باز Chromium توسعه داده شده است.
یک محقق امنیتی با کشف ۳ مورد از این اشکالات XSS در Blink مبلغ ۲۲۵۰۰ دلار جایزه دریافت کرد. در اردیبهشت ماه نیز یک محقق لهستانی با کشف آسیب‌پذیری‌های مشابه ۱۵ هزار دلار جایزه گرفته بود.

۴ مورد دیگر از آسیب‌پذیری‌های با شدت بالا مربوط به مؤلفه‌ای به نام PDFium است که توسط خود گوگل برای مشاهده‌ی اسناد PDF توسعه داده شده است. این اشکال نیز توسط گوگل در خرداد ماه توضیح داده شده بود. در این شرایط اگر کاربر ترغیب می‌شد تا پرونده‌ی PDF جعلی که در آن یک پرونده‌ی تصویری jpeg۲۰۰۰ تعبیه شده است را مشاهده کند، در معرض خطر قرار می‌گرفت. گوگل در به‌روزرسانی روز پنج‌شنبه‌ی خود، جزئیات آسیب‌پذیری PDFium را ارائه نکرده است.

دو مورد دیگر از آسیب‌پذیری‌های با شدت بالا، مربوط به ماشین جاوا اسکریپت V۸ در گوگل است. یکی از این اشکالات، آسیب‌پذیری «دسترسی به ویژگی‌های خصوصی در V۸» و دیگری یک آسیب‌پذیری استفاده پس از آزادسازی در V۸ است.
در این به‌روزرسانی ۹ آسیب‌پذیری با درجه‌ی متوسط نیز گزارش شده است. دو مورد از این آسیب‌پذیری‌های متوسط مربوط به Omnibox (نوار آدرس) در کروم است که مهاجم با بهره‌برداری از آن می‌توانست آدرس‌ها را جعل کند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.