چندین آسیبپذیری در مرورگر گوگل کروم کشف شده است که میتواند توسط مهاجم منجر به اجرای دلخواه کد شود. این آسیبپذیریها به مهاجمان امکان میدهد تا در صورت بهرهبرداری موفق، برنامههای مختلف را نصب و آنها را پیکربندی کرده، دادهها را مشاهده، تغییر یا حذف نماید و یا حتی حسابهای کاربری جدید با بالاترین دسترسی(مانند حساب های مدیریتی) ایجاد نمایند. این آسیبپذیریها در موتور جاوا اسکریپت، ضبط صفحه نمایش، جریان رسانه، صوت، پیمایش و ابزارهای توسعهدهنده گوگل کروم وجود دارند که شدید ترین آنها میتواند منجر به اجرای کد دلخواه شود. جزئیات این آسیبپذیریها به شرح زیر هست:
- CVE-2024-6772: نقص در پیادهسازی V8
- CVE-2024-6773: اشتباه در تشخیص نوع V8
- CVE-2024-6774: استفاده پس از آزادسازی در Screen Capture
- CVE-2024-6775: استفاده پس از آزادسازی در Streamها
- CVE-2024-6776: استفاده پس از آزادسازی در صوت
- CVE-2024-6777: استفاده پس از آزادسازی در Navigation
- CVE-2024-6778: مسابقه در ابزارهای توسعه (DevTools)
- CVE-2024-6779: دسترسی به حافظه خارج از محدوده درV8
محصولات تحت تأثیر
- نسخههای کروم قبل از 126.0.6478.182/183در سیستمعامل ویندوز و مک.
- نسخههای کروم قبل از 126.0.6478.182 در سیستمعامل لینوکس.
- کلیه نهاد های دولتی و کسب و کارها با هر سطحی در معرض آسیبپذیری مذکور قرار دارند.
توصیههای امنیتی
- بهروزرسانی نرمافزار: فورأ در محصولات آسیبپذیر گوگل کروم بهروزرسانیهای مناسب اعمال گردد.
- بهروزرسانی خودکار وصلههای نرمافزاری: بهروزرسانیهای نرمافزاری به صورت خودکار و حداقل ماهانه روی داراییهای سازمانی اعمال گردد.
- رفع آسیبپذیریهای شناسایی شده: آسیبپذیریهای شناسایی شده در نرمافزارها حداقل ماهانه بر اساس فرآیند رفع آسیبپذیری برطرف گردد.
- اطمینان استفاده از مرورگرها و کلاینتهای ایمیل پشتیبانیشده: سازمان باید مطمئن شود کاربران تنها از نسخههای رسمی و بهروز مرورگرها و کلاینتهای ایمیل استفاده میکنند.
- استفاده از اصل حداقل دسترسیها: هر کاربر، برنامه یا فرآیند، فقط حداقل دسترسیهای مورد نیاز برای انجام وظایف خود داده شود. محدود کردن دسترسیها به حداقل ممکن کمک میکند تا در صورت نفوذ مهاجم، آسیبها و خسارتها، به جداقل کاهش یابد.
- محدود کردن و کنترل محتوای وب: محدود کردن دسترسی به وبسایتهای خاص و مسدود کردن دانلود فایلها و پیوستها و مسدود کردن اجرای جاوا اسکریپت و محدود کردن استفاده از افزونههای مرورگر.
- آموزش و آگاهسازی کاربران در خصوص تهدیدات ناشی از لینکهای Hypertext در ایمیلها یا پیوستها، به ویژه از منابع غیرقابل اعتماد و ایجاد و حفظ برنامه آگاهسازی امنیتی سازمان
منبع خبر:
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbit…
- 212