رد کردن لینک ها

‌انتشار به‌روزرسانی مهم Google Chrome

‫ ‌انتشار به‌روزرسانی مهم GOOGLE CHROME ( آسیب‌پذیری‌های چندگانه ای که امکان اجرای کد دلخواه را فراهم می‌کند)

آسیب پذیری های چندگانه در کروم کشف شده است که شدیدترین آنها می‌تواند به مهاجم اجازه دهد کد دلخواه را اجرا کند.گوگل کروم یک مرورگر وب است که برای دسترسی به اینترنت استفاده می‌شود. بهره‌برداری موفق از این آسیب‌پذیری می‌تواند به مهاجم اجازه دهد کد دلخواه را در متن مرورگر اجرا کند. بسته به امتیازات مربوط به برنامه مهاجم می‌تواند برنامه‌ای را نصب کند، به داده‌ها دسترسی داشته باشد، آنها را تغییر دهد یا حذف کند و حتی حساب کاربری جدیدی با امتیازات کامل برای خود ایجاد کند. در صورتیکه کاربری یک صفحه ساخته شده توسط مهاجم را مشاهده کند یا به آن صفحه redirect شود این آسیب‌پذیری قابلیت سوءاستفاده را دارد. اگر این برنامه با حقوق کاربری پایین‌تری پیکربندی شده‌باشد بهره‌برداری از این آسیب‌پذیری می‌تواند تاثیر کمتری داشته‌باشد، مگر اینکه با حقوق administrative تنظیم شود.
سطح ریسک این آسیب‌پذیری برای سازمان‌های دولتی و خصوصی در حد متوسط و زیاد است.
در حال حاضر هیچ گزارشی مبنی بر سوءاستفاده از این آسیب‌پذیری دریافت نشده است.

نسخه‌های تحت‌تأثیر:
• Google Chrome versions prior to 71.0.3578.80

جزییات:
جزییات مربوط به این آسیب‌پذیری‌ها در زیر آمده است

شناسه آسیب‌پذیری نوع آسیب‌پذیری
CVE-2018-18341 Heap buffer overflow in Blink
CVE-2018-18338 Heap buffer overflow in Canvas
CVE-2018-18335 Heap buffer overflow in Skia
CVE-2018-18344 Inappropriate implementation in Extensions
CVE-2018-18352 Inappropriate implementation in Media
CVE-2018-18347 Inappropriate implementation in Navigation
CVE-2018-18353 Inappropriate implementation in Network Authentication.
CVE-2018-18348 Inappropriate implementation in Omnibox
CVE-2018-18345 Inappropriate implementation in Site Isolation
CVE-2018-18346 Incorrect security UI in Blink
CVE-2018-18354 Insufficient data validation in Shell Integration
CVE-2018-18350, CVE-2018-18349 Insufficient policy enforcement in Blink
CVE-2018-18351 Insufficient policy enforcement in Navigation
CVE-2018-18358 Insufficient policy enforcement in Proxy
CVE-2018-18355, CVE-2018-18357 Insufficient policy enforcement in URL Formatter
CVE-2018-18359 Out of bounds read in V8
CVE-2018-18342, CVE-2018-17480 Out of bounds write in V8
CVE-2018-18337 Use after free in Blink
CVE-2018-18340 Use after free in MediaRecorder
CVE-2018-18336 Use after free in PDFium
CVE-2018-18343, CVE-2018-18356 Use after free in Skia
CVE-2018-18339 Use after free in WebAudio
CVE-2018-17481 Use after frees in PDFium

توصیه‌ها

• به کاربران گوگل کروم به شدت توصیه می‌شود تا آن را به آخرین نسخه به روزرسانی نمایند.
• برای کاهش اثر حملات، تمام نرم‌افزارها را با سطح دسترسی پایین (کاربری غیر از administrative) اجرا کنید.
• به کاربران خود یادآوری کنید که از وب‌سایت‌های غیرقابل اعتماد بازدید نکرده و همچنین لینک‌هایی با منبع نامشخص و غیرقابل اعتماد را دنبال نکنند.
• اطلاع‌رسانی و آموزش کاربران در مورد خطرات لینک‌ها یا فایل‌های پیوست شده در ایمیل‌ها به ویژه از منابع غیرقابل اعتماد
• رعایت اصول حداقل حق دسترسی موردنیاز کاربران (اصل POLP یا Principle of Least Privilege) به سیستم‌ها و سرویس‌ها

 

منبع: مرکز ماهر

/پایان