גרסת הערוץ היציבה הראשונה של Google של Chrome 105 עבור Windows, Mac ו-Linux, שפורסמה השבוע, הכילה תיקונים עבור 24 נקודות תורפה בגרסאות קודמות של התוכנה, כולל פגם "קריטי" אחד ושמונה שהחברה דירגה כ"גבוהה" חוּמרָה.
ריבוי - תשע - מבעיות האבטחה שגוגל טיפלה בהן עם Chrome 105 היו מה שנקרא פגיעויות ללא שימוש לאחר, או פגמים המאפשרים לתוקפים להשתמש בשטחי זיכרון שפורסמו בעבר כדי לבצע קוד זדוני, להשחית נתונים ולנקוט פעולות זדוניות אחרות . ארבע מהפגיעויות שתוקנו היו הצפת מאגר ברכיבי Chrome שונים, כולל WebUI ו- Screen Capture.
תוקפים מנצלים לעתים קרובות הצפת מאגר למגוון מטרות זדוניות, כולל ביצוע קוד אקראי, החלפת נתונים, קריסת מערכות והפעלת תנאי מניעת שירות.
הדפסת לוח
בעיה אחת שנראה שגוגל לא תיקנה במרכזי העדכונים סביב לוחות הלוח. לפי Malwarebytes, כאשר משתמשי Google Chrome - או כל דפדפן מבוסס Chromium - מבקרים באתר, האתר יכול לדחוף כל תוכן שהוא רוצה ללוח מערכת ההפעלה של המשתמש, ללא רשות המשתמש או כל אינטראקציה כלשהי.
"משמעות הדבר היא שפשוט על ידי ביקור באתר, הנתונים בלוח שלך עשויים להידחק ללא הסכמתך או ידיעתך", אמר Malwarebytes.
זה יכול לגרום למשתמשים לאבד נתונים יקרי ערך שאולי רצו לגזור ולהדביק במקום אחר, ובמקביל לתת לתוקפים פתח לנסות ולהגניב קוד זדוני למערכת של משתמש, אמר ספק האבטחה. הבעיה קשורה להיעדר כל דרישה בדפדפן מבוסס Chrome ו-Chromium למשתמשים לנקוט בצעדים ספציפיים כמו שימוש ב-"Ctrl+C" כדי להעתיק תוכן מאתר ללוח של המשתמש, אמר Malwarebytes.
חוקר האבטחה ג'ף ג'ונסון זיהה את הבעיה עם Chrome כחלק מבעיה רחבה יותר זה משפיע גם על Safari וגם על Firefox גם כן. "כרום הוא כרגע העבריין הגרוע ביותר, מכיוון שדרישת מחוות המשתמש לכתיבה ללוח נשברה בטעות בגרסה 104", אמר בדיווח השבוע.
עם זאת, המציאות היא שלמשתמשים של דפדפנים אחרים כמו פיירפוקס וספארי אתרים יכולים להחליף את לוחות המערכת שלהם בקלות רבה יותר ממה שהם מבינים, אמר ג'ונסון. למרות ששני הדפדפנים הללו דורשים מהמשתמשים לנקוט פעולה כלשהי כדי להעתיק את תוכן האתר ללוחות שלהם, הפעולות הן הרבה יותר רחבות ממה שהם עשויים לדמיין.
לדוגמה, פעולות כמו התמקדות במסך, או לחיצה על מקש/מקש ומטה/עכבר, יכולות לגרום להעתקה של תוכן האתר ללוח ללא ידיעת המשתמש, אמר ג'ונסון.
החוקר ציין שמפתחי כרום כבר מודעים לבעיה ומטפלים בה. גוגל לא הגיבה מיד לבקשה של Dark Reading להגיב.
"התוקפים עלולים לנצל את הבאג הזה כדי להעתיק קישורים זדוניים ללוחות של משתמשים, מה שעלול לגרום למשתמשים להדביק את הקישורים האלה בשורת הכתובת שלהם ולגשת לאתרים זדוניים בטעות", אומר איוון ריגי, מנתח איומי סייבר בכיר ב-Digital Shadows.
"דרך נוספת שניתן לנצל את הבאג הזה היא לבצע עסקאות הונאה במטבעות קריפטוגרפיים. שחקנים מאיימים יכולים למנף את הפגם בשילוב עם התקפות הנדסה חברתית כדי לגרום למשתמשים להזין את כתובות הארנק הלא נכונות לעסקאות", אומר ריגי. עם זאת, הסבירות שהתקפות כאלה יצליחו נמוכה מכיוון שסביר להניח שמשתמשים יבחינו בתכנים חריגים המוצבים על הלוח שלהם, הוא אומר.
שפע של בעיות שימוש לאחר חינם
בינתיים, הפגיעות הקריטית היחידה (CVE-2022-3038) שגוגל טופלה עם הגרסה היציבה של Chrome 105 דווחה על ידי חוקר אבטחה מצוות ציד באגים Project Zero משלה: הפגם שלאחר השימוש בשירות הרשת של Google Chrome נותן תוקפים מרוחקים דרך להפעיל קוד שרירותי
או להפעיל תנאי דחיית שירות במערכות המשתמשים על ידי קבלתם לבקר באתר אינטרנט בעל נשק.
ציידי באגים וחוקרי אבטחה חיצוניים דיווחו על כל נקודות התורפה הנותרות שגוגל טיפלה בהן השבוע בכרום. נראה שהמשמעותית ביותר מביניהם הייתה CVE-2022-3039, פגיעות בחומרה גבוהה, נטולת משתמש אחרי ב-WebSQL, שעליה דיווחו לגוגל שני חוקרים מהמכון לחקר הפגיעות בסין 360. החוקרים קיבלו 10,000 דולר עבור דיווח על הבאג לגוגל - הסכום הגבוה ביותר שהוענק בקבוצה הנוכחית.
פגם נוסף בעל השפעה גבוהה, ללא שימוש לאחר שימוש, בפריסת Chrome גרף 9,000 דולר עבור חוקר האבטחה האנונימי שדיווח על הבעיה לגוגל. הפרסים עבור הבאגים הנותרים נעו בין $1,000 ל-$7,500. גוגל עדיין לא קבעה פרסים עבור ארבע גילויי באגים.
כפי שהפך לנוהג המקובל בקרב ספקים גדולים, גוגל אמרה שהיא הגבילה את הגישה לפרטי באגים עד שלרוב המשתמשים תהיה הזדמנות ליישם את הגרסה החדשה והיציבה של Chrome.
"נשמור על הגבלות גם אם הבאג קיים בספריית צד שלישי שפרויקטים אחרים תלויים בה באופן דומה אך עדיין לא תוקנו." כך אמרה גוגל בבלוג השבוע. מנהל אבטחה בכיר של מיקרוסופט השתמש לאחרונה באותה סיבה הסבר מדוע גילויי הבאגים של מיקרוסופט מכילים גם פרטים מועטים בימים אלה.
בעוד שתיקוני הבאגים הם כמעט בוודאות הסיבה העיקרית לכך שמשתמשים עשויים לרצות לעדכן לגרסה היציבה של Chrome 105, גרסת הדפדפן החדשה מציגה גם קומץ תכונות נוספות. אלו כוללים תכונות המאפשרות למפתחים להוסיף לחצן פקדי חלונות - כגון סגירה, מיקסום או מזעור - ליישומי אינטרנט מתקדמים, ממשק API חדש של תמונה-בתמונה עבור Chrome ב-Android, ושיפורים לממשק API לניווט של Chrome.
