أصدرت شركة جوجل تحديثًا عاجلًا لمعالجة الثغرة الأمنية المكتشفة مؤخرًا في متصفح كروم والتي كانت قيد الاستغلال النشط في البرية، مما يمثل ثغرة يوم الصفر الثامنة التي تم تحديدها للمتصفح في عام 2023.
التعرف على CVE-2023-7024وقالت جوجل إن الثغرة الأمنية عبارة عن عيب كبير في تجاوز سعة المخزن المؤقت داخل وحدة WebRTC في Chrome والتي تسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE).
WebRTC هي مبادرة مفتوحة المصدر تتيح الاتصال في الوقت الفعلي من خلال واجهات برمجة التطبيقات (APIs)، وتتمتع بدعم واسع النطاق بين صانعي المتصفحات الرائدين.
كيف يهدد CVE-2023-7024 مستخدمي Chrome
يوضح ليونيل ليتي، كبير مهندسي الأمن في شركة Menlo Security، أن خطر الاستغلال هو القدرة على تحقيق RCE في عملية العرض. وهذا يعني أن الممثل السيئ يمكنه تشغيل تعليمات برمجية ثنائية عشوائية على جهاز المستخدم، خارج بيئة جافا سكريبت المعزولة.
ومع ذلك، يعتمد الضرر الحقيقي على استخدام الخطأ كخطوة أولى في سلسلة الاستغلال؛ يجب أن يتم دمجها مع ثغرة أمنية في Sandbox Escape إما في Chrome نفسه أو في نظام التشغيل لتكون خطيرة حقًا.
يقول Litty: "لا يزال هذا الرمز في وضع الحماية بسبب البنية متعددة العمليات لمتصفح Chrome، لذلك مع هذه الثغرة الأمنية فقط، لا يستطيع المهاجم الوصول إلى ملفات المستخدم أو البدء في نشر البرامج الضارة، ويختفي موطئ قدمه على الجهاز عندما يتم إغلاق علامة التبويب المتأثرة". مغلق."
ويشير إلى أن ميزة عزل الموقع في Chrome ستحمي بشكل عام البيانات من المواقع الأخرى، لذلك لا يمكن للمهاجم استهداف المعلومات المصرفية للضحية، على الرغم من أنه يضيف أن هناك بعض التحذيرات الدقيقة هنا.
على سبيل المثال، قد يؤدي هذا إلى تعريض الأصل المستهدف للأصل الخبيث إذا كانوا يستخدمون نفس الموقع: وبعبارة أخرى، يمكن أن يستهدف موقعخبيث.shared.com الافتراضي الضحية.shared.com.
"في حين أن الوصول إلى الميكروفون أو الكاميرا يتطلب موافقة المستخدم، فإن الوصول إلى WebRTC نفسه لا يتطلب ذلك،" يوضح Litty. "من الممكن أن يتم استهداف هذه الثغرة الأمنية بواسطة أي موقع ويب دون الحاجة إلى أي إدخال من المستخدم يتجاوز زيارة الصفحة الضارة، لذا من هذا المنظور يكون التهديد كبيرًا."
ويشير أوبري بيرين، كبير محللي استخبارات التهديدات في وحدة أبحاث التهديدات في Qualys، إلى أن نطاق الخطأ يمتد إلى ما هو أبعد من Google Chrome.
يقول: "إن استغلال Chrome مرتبط بتواجده في كل مكان - حتى Microsoft Edge يستخدم Chromium". "لذا، فإن استغلال Chrome يمكن أيضًا أن يستهدف مستخدمي Edge ويسمح للجهات الفاعلة السيئة بنطاق أوسع."
وتجدر الإشارة إلى أن الأجهزة المحمولة التي تعمل بنظام Android والتي تستخدم Chrome لها ملف تعريف المخاطر الخاص بها؛ حيث يقومون بوضع مواقع متعددة في نفس عملية العرض في بعض السيناريوهات، خاصة على الأجهزة التي لا تحتوي على الكثير من ذاكرة الوصول العشوائي.
تظل المتصفحات هدفًا رئيسيًا للهجمات الإلكترونية
أبلغ بائعو المتصفحات الرئيسيون مؤخرًا عن عدد متزايد من أخطاء يوم الصفر - أبلغت Google وحدها خمسة منذ أغسطس.
تعد Apple وMicrosoft وFirefox من بين الشركات الأخرى التي كشفت عن ملف سلسلة من نقاط الضعف الحرجة في متصفحاتهم، بما في ذلك بعض الأيام الصفرية.
يقول جوزيف كارسون، كبير علماء الأمن ورئيس قسم تكنولوجيا المعلومات الاستشاري في Delinea، إنه ليس من المستغرب أن يستهدف المتسللون ومجرمو الإنترنت الذين ترعاهم الحكومة البرامج الشائعة، ويبحثون باستمرار عن نقاط الضعف لاستغلالها.
ويقول: "يؤدي هذا عادةً إلى مساحة هجوم أكبر بسبب الاستخدام الواسع النطاق للبرنامج، والمنصات المتعددة، والأهداف عالية القيمة، وعادةً ما يفتح الباب أمام هجمات سلسلة التوريد".
ويشير إلى أن هذه الأنواع من الثغرات الأمنية تستغرق أيضًا وقتًا للعديد من المستخدمين لتحديث الأنظمة الضعيفة وتصحيحها.
يقول كارسون: "لذلك، من المرجح أن يستهدف المهاجمون هذه الأنظمة الضعيفة لعدة أشهر قادمة".
ويضيف: "بما أن هذه الثغرة الأمنية يتم استغلالها بشكل نشط، فمن المحتمل أن يعني ذلك أن العديد من أنظمة المستخدمين قد تم اختراقها بالفعل وسيكون من المهم أن تكون قادرًا على تحديد الأجهزة التي تم استهدافها وتصحيح تلك الأنظمة بسرعة."
ونتيجة لذلك، يشير كارسون إلى أنه يجب على المؤسسات التحقق من الأنظمة الحساسة التي تحتوي على هذه الثغرة الأمنية لتحديد أي مخاطر أو تأثير مادي محتمل.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :لديها
- :يكون
- :ليس
- 2023
- 7
- a
- القدرة
- ماهرون
- الوصول
- التأهيل
- نشط
- بنشاط
- الجهات الفاعلة
- العنوان
- يضيف
- استشاري
- السماح
- يسمح
- وحده
- سابقا
- أيضا
- بالرغم ان
- من بين
- an
- المحلل
- و
- الروبوت
- أي وقت
- واجهات برمجة التطبيقات
- هندسة معمارية
- هي
- AS
- At
- مهاجمة
- الهجمات
- بعيدا
- سيئة
- البنوك والمصارف
- BE
- كان
- يجري
- Beyond
- المتصفح
- المتصفحات
- العازلة
- تجاوز سعة المخزن المؤقت
- علة
- البق
- by
- وكاميرا
- CAN
- لا تستطيع
- سلسلة
- رئيس
- الكروم
- الكروم
- CISO
- صندوق توظيف برأس مال محدود
- الكود
- COM
- الجمع بين
- تأتي
- Communication
- تسوية
- موافقة
- باستمرار
- استطاع
- حرج
- هجوم الانترنت
- مجرمو الإنترنت
- تلف
- خطير
- البيانات
- نشر
- حدد
- الأجهزة
- اكتشف
- do
- هل
- منتجات الأبواب
- اثنان
- حافة
- ثامن
- إما
- تمكين
- هرب
- خاصة
- حتى
- مثال
- ويوضح
- استغلال
- استغلال
- استغلال
- استغلال
- يمتد
- الميزات
- ملفات
- برنامج فايرفوكس
- الاسم الأول
- عيب
- في حالة
- تبدأ من
- على العموم
- يذهب
- شراء مراجعات جوجل
- جوجل كروم
- حكومة
- برعاية الحكومة
- متزايد
- قراصنة
- يملك
- he
- هنا
- HTML
- HTTPS
- محدد
- تحديد
- if
- التأثير
- أثر
- أهمية
- in
- في أخرى
- بما فيه
- معلومات
- مبادرة
- إدخال
- رؤيتنا
- بحث
- عزل
- نشر
- IT
- انها
- نفسها
- جافا سكريبت
- JPG
- م
- أكبر
- قيادة
- قيادة
- يؤدي
- على الأرجح
- الكثير
- آلة
- صناع
- البرمجيات الخبيثة
- كثير
- وسم
- مادة
- يعني
- ميكروفون
- مایکروسافت
- مايكروسوفت الحافة
- الجوال
- أجهزة محمولة
- وحدة
- المقبلة.
- متعدد
- إحتياجات
- لا
- وأشار
- ملاحظة
- عدد
- of
- on
- جاكيت
- المصدر المفتوح
- يفتح
- or
- المنظمات
- الأصل
- OS
- أخرى
- أخرى
- خارج
- في الخارج
- الخاصة
- صفحة
- بقعة
- منظور
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نقاط
- الرائج
- ممكن
- محتمل
- يحتمل
- عملية المعالجة
- ملفي الشخصي
- حماية
- وضع
- بسرعة
- رامات
- الوصول
- حقيقي
- في الوقت الحقيقي
- مؤخرا
- النشرات
- لا تزال
- عن بعد
- وذكرت
- يتطلب
- بحث
- نتيجة
- المخاطرة
- المخاطر
- يجري
- s
- قال
- نفسه
- رمل
- يقول
- سيناريوهات
- عالم
- البحث
- أمن
- حساس
- شاركت
- ينبغي
- هام
- منذ
- الموقع
- المواقع
- So
- تطبيقات الكمبيوتر
- بعض
- مصدر
- المدعومة
- بداية
- خطوة
- لا يزال
- تزويد
- سلسلة التوريد
- الدعم
- المساحة
- مفاجأة
- أنظمة
- أخذ
- الهدف
- المستهدفة
- الأهداف
- أن
- •
- من مشاركة
- هناك.
- وبالتالي
- تشبه
- هم
- هؤلاء
- على الرغم من؟
- التهديد
- يهدد
- عبر
- مربوط
- الوقت
- إلى
- تيشرت
- حقا
- أنواع
- عادة
- مع
- وحدة
- تحديث
- عاجل
- الأستعمال
- تستخدم
- مستخدم
- المستخدمين
- يستخدم
- استخدام
- عادة
- الباعة
- ضحية
- نقاط الضعف
- الضعف
- الضعيفة
- الموقع الإلكتروني
- متى
- في حين
- على نطاق أوسع
- واسع الانتشار
- بري
- سوف
- مع
- في غضون
- بدون
- كلمات
- سوف
- زفيرنت