به‌روزرسانی کروم برای رفع يک آسيب‌پذيری شديد

شرکت #‫گوگل، مرورگر کروم خود را برای رفع یک نقص شدید که می‌تواند هکرها را قادر به انجام حملات اجرای کد از راه دور (RCE) کند، به‌روز کرد.
این آسیب‌پذیری که با شناسه‌ی "CVE-2019-5869" ردیابی می‌شود، یک نقص «استفاده پس از آزادسازی» (use-after-free) است که در موتور مرورگر Blink وجود دارد.
Blink یک موتور مرورگر منبع‌باز است که اولین بار در سال 2013 و به‌طور خاص به‌عنوان بخشی از پروژه‌ی کرومیوم و با چارچوب‌های مختلف نرم‌افزاری قابل استفاده‌ی مجدد برای سیستم‌عامل اندروید، ساخته شد. این موتور مرورگر از گوگل کروم استفاده می‌کند. موتورهای مرورگر در قلب هر مرورگر اصلی قرار دارند و نقش اصلی آن‌ها، تبدیل اسناد HTML و سایر منابع صفحه‌ی وب به نمایش‌های بصری در دستگاه‌های کاربران است.
محققان هشدار دادند كه سوءاستفاده‌ی موفقیت‌آمیز از آسیب‌پذیری موجود در Blink می‌تواند به مهاجمان اجازه دهد تا كد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را به‌دست آورند، محدودیت‌های امنیتی را دور بزنند، اقدامات غیرمجاز را انجام دهند یا موجب شرایط انكار سرویس (DoS) شوند.
بسته به امتیازات مرتبط با برنامه، مهاجم می‌تواند برنامه‌هایی را نصب کند، داده‌ها را مشاهده یا حذف کرده و آن‌ها را تغییر دهد یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند.
نقص موجود در Blink می‌تواند با ترغیب کاربر به بازدید از یک صفحه‌ی وب خاص طراحی‌شده، مورد سوءاستفاده قرار گیرد. بنابراین، مهاجمان می‌توانند از راه دور چنین صفحه‌ی وبی را راه‌اندازی کنند و از راه دور به سیستم قربانیان حمله کنند.
این نقص بر نسخه‌های گوگل کروم قبل از 76.0.3809.132 تأثیر می‌گذارد. به‌گفته‌ی محققان، در حال حاضر هیچ گزارشی از سوءاستفاده‌ی گسترده از این آسیب‌پذیری گزارش نشده است؛ اما گوگل از کاربران ویندوز، مک و لینوکس خواسته است تا مرورگر کروم خود را به نسخه‌ی 76.0.3809.132 به‌روز کنند.