گوگل یک بهروزرسانی فوری برای رفع آسیبپذیری اخیراً کشف شده در کروم منتشر کرده است که در طبیعت تحت بهرهبرداری فعال بوده است و هشتمین آسیبپذیری روز صفر شناسایی شده برای مرورگر در سال ۲۰۲۳ را نشان میدهد.
شناسایی شده به عنوان CVE-2023-7024گوگل گفت که این آسیب پذیری یک نقص قابل توجه سرریز بافر پشته در ماژول WebRTC کروم است که امکان اجرای کد از راه دور (RCE) را فراهم می کند.
WebRTC یک ابتکار منبع باز است که امکان برقراری ارتباط بلادرنگ از طریق APIها را فراهم می کند و از پشتیبانی گسترده در میان سازندگان پیشرو مرورگرها برخوردار است.
چگونه CVE-2023-7024 کاربران کروم را تهدید می کند
لیونل لیتی، معمار ارشد امنیت در Menlo Security، توضیح میدهد که ریسک ناشی از بهرهبرداری، توانایی دستیابی به RCE در فرآیند رندر است. این بدان معنی است که یک بازیگر بد می تواند کدهای باینری دلخواه را در دستگاه کاربر، خارج از جعبه ایمنی جاوا اسکریپت اجرا کند.
با این حال، آسیب واقعی متکی به استفاده از اشکال به عنوان اولین مرحله در زنجیره بهره برداری است. برای اینکه واقعاً خطرناک باشد، باید با یک آسیبپذیری فرار sandbox در خود کروم یا سیستمعامل ترکیب شود.
لیتی میگوید: «این کد به دلیل معماری چند فرآیندی کروم هنوز هم در جعبه سندباکس قرار دارد، بنابراین تنها با این آسیبپذیری، مهاجم نمیتواند به فایلهای کاربر دسترسی داشته باشد یا شروع به استقرار بدافزار کند، و وقتی برگه تحت تأثیر قرار میگیرد، جای پای او روی دستگاه از بین میرود. بسته.»
او اشاره میکند که ویژگی جداسازی سایت کروم به طور کلی از دادههای سایتهای دیگر محافظت میکند، بنابراین مهاجم نمیتواند اطلاعات بانکی قربانی را هدف قرار دهد، اگرچه او اضافه میکند که در اینجا اخطارهای ظریفی وجود دارد.
به عنوان مثال، اگر از یک سایت استفاده کنند، یک منبع هدف را در معرض منبع مخرب قرار می دهد: به عبارت دیگر، یک malicious.shared.com فرضی می تواند قربانی.shared.com را هدف قرار دهد.
لیتی توضیح میدهد: «در حالی که دسترسی به میکروفون یا دوربین نیاز به رضایت کاربر دارد، دسترسی به WebRTC نیازی به رضایت کاربر ندارد. این آسیبپذیری میتواند توسط هر وبسایتی بدون نیاز به ورود کاربر به غیر از بازدید از صفحه مخرب مورد هدف قرار گیرد، بنابراین از این منظر این تهدید قابل توجه است.»
Aubrey Perin، تحلیلگر ارشد اطلاعات تهدید در واحد تحقیقات Qualys Threat، خاطرنشان می کند که دامنه این اشکال فراتر از Google Chrome است.
او میگوید: «استفاده از کروم به فراگیر بودن آن مرتبط است – حتی مایکروسافت اج نیز از کرومیوم استفاده میکند. بنابراین، بهرهبرداری از کروم میتواند به طور بالقوه کاربران Edge را نیز هدف قرار دهد و به بازیگران بد دسترسی وسیعتری بدهد.»
و لازم به ذکر است که دستگاه های تلفن همراه اندرویدی که از کروم استفاده می کنند دارای مشخصات ریسک خاص خود هستند. آنها در برخی از سناریوها چندین سایت را در یک فرآیند رندر قرار می دهند، به خصوص در دستگاه هایی که رم زیادی ندارند.
مرورگرها همچنان هدف اصلی حملات سایبری هستند
فروشندگان بزرگ مرورگرها اخیراً تعداد فزاینده ای از اشکالات روز صفر را گزارش کرده اند - گوگل به تنهایی گزارش داده است پنج از اوت.
اپل، مایکروسافت و فایرفاکس از جمله دیگر مواردی هستند که a مجموعه ای از آسیب پذیری های حیاتی در مرورگرهای آنها، از جمله برخی روزهای صفر.
جوزف کارسون، دانشمند ارشد امنیت و مشاور CISO در Delinea، میگوید تعجبی ندارد که هکرها و مجرمان سایبری تحت حمایت دولت این نرمافزار محبوب را هدف قرار میدهند و دائماً به دنبال آسیبپذیری برای سوء استفاده میشوند.
او میگوید: «این معمولاً به دلیل استفاده گسترده نرمافزار، پلتفرمهای متعدد، اهداف با ارزش بالا، منجر به یک سطح حمله بزرگتر میشود و معمولاً در را برای حملات زنجیره تأمین باز میکند.»
او خاطرنشان می کند که این نوع آسیب پذیری ها برای بسیاری از کاربران برای به روز رسانی و وصله سیستم های آسیب پذیر زمان می برد.
کارسون میگوید: «بنابراین، مهاجمان احتمالاً برای ماههای آینده این سیستمهای آسیبپذیر را هدف قرار خواهند داد.
او میافزاید: «از آنجایی که این آسیبپذیری به طور فعال مورد سوء استفاده قرار میگیرد، احتمالاً به این معنی است که بسیاری از سیستمهای کاربران قبلاً در معرض خطر قرار گرفتهاند و مهم است که بتوان دستگاههایی را که هدف قرار گرفتهاند شناسایی کرد و به سرعت آن سیستمها را وصله کرد.»
در نتیجه، کارسون خاطرنشان میکند، سازمانها باید سیستمهای حساس با این آسیبپذیری را بررسی کنند تا هرگونه خطر یا تأثیر مادی بالقوه را تعیین کنند.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- : دارد
- :است
- :نه
- 2023
- 7
- a
- توانایی
- قادر
- دسترسی
- رسیدن
- فعال
- فعالانه
- بازیگران
- نشانی
- می افزاید:
- مشاوره
- اجازه دادن
- اجازه می دهد تا
- تنها
- قبلا
- همچنین
- هر چند
- در میان
- an
- روانکاو
- و
- اندروید
- هر
- رابط های برنامه کاربردی
- معماری
- هستند
- AS
- At
- حمله
- حمله
- دور
- بد
- بانکداری
- BE
- بوده
- بودن
- خارج از
- مرورگر
- مرورگرهای
- بافر
- سرریز بافر
- اشکال
- اشکالات
- by
- دوربین
- CAN
- نمی توان
- زنجیر
- رئیس
- کروم
- کروم
- CISO
- بسته
- رمز
- COM
- ترکیب شده
- بیا
- ارتباط
- در معرض خطر
- رضایت
- به طور مداوم
- میتوانست
- بحرانی
- حمله سایبری
- مجرمان سایبری
- خسارت
- خطرناک
- داده ها
- استقرار
- مشخص کردن
- دستگاه ها
- کشف
- do
- میکند
- توسط
- دو
- لبه
- هشتم
- هر دو
- را قادر می سازد
- فرار
- به خصوص
- حتی
- مثال
- اعدام
- توضیح می دهد
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- بهره برداری از
- گسترش می یابد
- ویژگی
- فایل ها
- فایرفاکس
- نام خانوادگی
- نقص
- برای
- از جانب
- عموما
- می رود
- گوگل
- گوگل کروم
- دولت
- تحت حمایت دولت
- در حال رشد
- هکرها
- آیا
- he
- اینجا کلیک نمایید
- HTML
- HTTPS
- شناسایی
- شناسایی
- if
- تأثیر
- نهفته
- مهم
- in
- در دیگر
- از جمله
- اطلاعات
- ابتکار عمل
- ورودی
- اطلاعات
- بررسی
- انزوا
- صادر
- IT
- ITS
- خود
- جاوا اسکریپت
- JPG
- تنها
- بزرگتر
- رهبری
- برجسته
- منجر می شود
- احتمالا
- خیلی
- دستگاه
- سازندگان
- نرم افزارهای مخرب
- بسیاری
- علامت گذاری
- ماده
- به معنی
- میکروفن
- مایکروسافت
- مایکروسافت لبه
- موبایل
- دستگاه های تلفن همراه
- ماژول ها
- ماه
- چندگانه
- نیازهای
- نه
- اشاره کرد
- یادداشت
- عدد
- of
- on
- باز کن
- منبع باز
- باز می شود
- or
- سازمان های
- منشاء
- OS
- دیگر
- دیگران
- خارج
- خارج از
- خود
- با ما
- وصله
- چشم انداز
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- نقطه
- محبوب
- ممکن
- پتانسیل
- بالقوه
- روند
- مشخصات
- محافظت از
- قرار دادن
- به سرعت
- رم
- رسیدن به
- واقعی
- زمان واقعی
- تازه
- منتشر شده
- ماندن
- دور
- گزارش
- نیاز
- تحقیق
- نتیجه
- خطر
- خطرات
- دویدن
- s
- سعید
- همان
- گودال ماسهبازی
- می گوید:
- سناریوها
- دانشمند
- جستجو
- تیم امنیت لاتاری
- حساس
- به اشتراک گذاشته شده
- باید
- قابل توجه
- پس از
- سایت
- سایت
- So
- نرم افزار
- برخی از
- منبع
- حمایت مالی
- شروع
- گام
- هنوز
- عرضه
- زنجیره تامین
- پشتیبانی
- سطح
- تعجب
- سیستم های
- گرفتن
- هدف
- هدف قرار
- اهداف
- که
- La
- شان
- آنجا.
- از این رو
- اینها
- آنها
- این
- کسانی که
- اگر چه؟
- تهدید
- تهدید می کند
- از طریق
- گره خورده است
- زمان
- به
- بالا
- صادقانه
- انواع
- به طور معمول
- زیر
- واحد
- بروزرسانی
- فوری
- استفاده
- استفاده کنید
- کاربر
- کاربران
- استفاده
- با استفاده از
- معمولا
- فروشندگان
- قربانی
- آسیب پذیری ها
- آسیب پذیری
- آسیب پذیر
- سایت اینترنتی
- چه زمانی
- در حین
- گسترده تر
- بطور گسترده
- وحشی
- اراده
- با
- در داخل
- بدون
- کلمات
- خواهد بود
- زفیرنت