فا

‫ ‌انتشار به‌روزرسانی مهم Google Chrome ( آسیب‌پذیری‌های چندگانه ای که امکان اجرای کد دلخواه را فراهم می‌کند)

#‫آسیب‌پذیری‌ های چندگانه در کروم کشف شده است که شدیدترین آنها می‌تواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.گوگل کروم یک مرورگر وب است که برای دسترسی به اینترنت استفاده می‌شود. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد کد دلخواه را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. در صورتیکه کاربری یک صفحه ساخته شده توسط مهاجم را مشاهده کند یا به آن صفحه redirect شود این آسیب‌پذیری قابلیت سوءاستفاده را دارد. اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
• Google Chrome versions prior to 71.0.3578.80

جزییات:
جزییات مربوط به این آسیب‌پذیری‌ها در زیر آمده است

شناسه آسیب‌پذیری

نوع آسیب‌پذیری

CVE-2018-18341

Heap buffer overflow in Blink

CVE-2018-18338

Heap buffer overflow in Canvas

CVE-2018-18335

Heap buffer overflow in Skia

CVE-2018-18344

Inappropriate implementation in Extensions

CVE-2018-18352

Inappropriate implementation in Media

CVE-2018-18347

Inappropriate implementation in Navigation

CVE-2018-18353

Inappropriate implementation in Network Authentication.

CVE-2018-18348

Inappropriate implementation in Omnibox

CVE-2018-18345

Inappropriate implementation in Site Isolation

CVE-2018-18346

Incorrect security UI in Blink

CVE-2018-18354

Insufficient data validation in Shell Integration

CVE-2018-18350, CVE-2018-18349

Insufficient policy enforcement in Blink

CVE-2018-18351

Insufficient policy enforcement in Navigation

CVE-2018-18358

Insufficient policy enforcement in Proxy

CVE-2018-18355, CVE-2018-18357

Insufficient policy enforcement in URL Formatter

CVE-2018-18359

Out of bounds read in V8

CVE-2018-18342, CVE-2018-17480

Out of bounds write in V8

CVE-2018-18337

Use after free in Blink

CVE-2018-18340

Use after free in MediaRecorder

CVE-2018-18336

Use after free in PDFium

CVE-2018-18343, CVE-2018-18356

Use after free in Skia

CVE-2018-18339

Use after free in WebAudio

CVE-2018-17481

Use after frees in PDFium

توصیه‌ها
• به کاربران گوگل کروم به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

مشخصات خبر

 
تاریخ ایجاد: 21 آذر 1397

برچسب‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0