کروم ۴۸ آسیب‌پذیری را در نسخه ۵۲ وصله می‌کند!

روز چهارشنبه شرکت گوگل مرورگر کروم ۵۲ را در حالت پایدار منتشر کرد و اعلام کرد که ۴۸ آسیب‌پذیری امنیتی در این مرورگر محبوب اینترنتی وصله شده است. در مجموعه ۱۱ آسیب‌پذیری با خطر بالا که توسط محققان خارج از این شرکت افشاء شده بود در کروم ۵۲ وصله شد و در کنار آن ۶ آسیب‌پذیری متوسط نیز برطرف گردید. با این‌ حال، این غول اینترنتی میزان پاداش‌های در نظر گرفته‌ شده برای ۱۷ مشکل امنیتی جدی ارائه شده به این شرکت اعلام نکرده است.

مهم‌ترین حفره‌های وصله شده عبارت‌اند از افزونه‌های Pepper API که می‌توانند از جعبه شنی بگریزند و همین‌طور API موجود در چند سامانه عامل برای افزونه‌های مرورگر اینترنتی خدمات گیرنده‌ی محلی. آسیب‌پذیری که با شناسه CVE-۲۰۱۶-۱۷۰۶ مشخص شده است دارای درجه‌بندی با خطر بالا است و به‌وسیله‌ی پینکی پی کشف شده است. وی ۱۵۰۰۰ دلار را به خاطر کشف آن پاداش گرفته است.

پس ‌از آن به یک آسیب‌پذیری آدرس جعلی در سامانه عامل iOS می‌رسیم که با شناسه CVE-۲۰۱۶-۱۷۰۷ مشخص شده است و Xisigr از شرکت Tencent Xuanwu آن را یافته است. بنا به گزارش مشاوره‌نامه‌ی گوگل این حفره با درجه خطر بالا برای محققی که آن را یافته است ۳۰۰۰ دلار پاداش به ارمغان آورده است.

در میان آسیب‌پذیری‌های با درجه متوسط، دو مورد از آن‌ها با هرکدام با هزار دلار پاداش کشف روبرو شدند (CVE-۲۰۱۶-۵۱۲۳ که عبور محدود از یک منبع در Service Woeker و CVE-۲۰۱۶-۵۱۳۳ که ابهام منبع در احراز هویت پروکسی بودند) و به هرکدام از دو مورد دیگر ۵۰۰ دلار جایزه داده شد (CVE-۲۰۱۶-۵۱۳۴ که نشت نشانی از طریق پردازه‌ی PAC و CVE-۲۰۱۶-۵۱۳۵ که عبور از محتوای سیاست امنیتی هستند). پاداش‌ها برای دو آسیب‌پذیری دیگر (CVE-۲۰۱۶-۵۱۳۶: use-after-free در افزونه‌ها و CVE-۲۰۱۶-۵۱۳۷: نفوذ به تاریخچه در HSTS و CSP) هنوز اعلام نشده‌اند.

علاوه بر این گوگل اعلام کرده است که فعالیت‌های داخلی کارکنان این شرکت نیز باعث کشف و وصله کردن انواع مختلف دیگری از آسیب‌پذیری‌های امنیتی شده است.

همه‌ی وصله‌های امنیتی ذکرشده در بالا و همچنین بسیاری دیگر که گوگل هنوز آن‌ها را اعلام نکرده است در نسخه‌ی ۵۲.۰.۲۷۴۳.۸۲ مرورگر گوگل کروم وصله شده‌اند. نسخه‌ی جدید این مرورگر برای سامانه عامل‌های ویندوز، مک و لینوکس در دسترس هستند.

نسخه‌ی قبلی این مرورگر (نسخه‌ی ۵۱.۰.۲۷۰۴.۶۳) در اواخر ماه می منتشر شد و در آن گوگل ۴۲ آسیب‌پذیری را پوشش داد. در آن زمان گوگل اعلام کرد که ۶۵ هزار دلار را در قالب برنامه‌ی پاداش برای کشف حفره‌های خود برای ارائه‌ی ۲۳ حفره‌ای که توسط محققان خارج از این شرکت گزارش شده‌اند، پرداخت کرده است. همچنین در ماه می گوگل آسیب‌پذیری‌ها متعدد سطح بالایی را در کروم ۵۰ برطرف کرده است.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.