روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ گوگل با نشر آپدیت 100.0.4896.60 برای مرورگر کروم خود 28 آسیبپذیری را رفع کرده است. دست کم 9 آسیبپذیری در رده «وخامت شدید» قرار دارند؛ تازه CVE-2022-1096 را نیز به موارد اضافه کنید (آسیبپذیری به شدت وخیم دیگر که گوگل چند روز پیش با آپدیتی مجزا آن را پچ کرد). پس به طور کلی میتوان گفت توسعهدهندگان کروم در کمتر از یک هفته پچهایی را برای 10 آسیبپذیری به شدت وخیم عرضه کردند. به بیانی دیگر، اگر مدتی میشود که کامپیوتر خود را ریبوت یا اخیراً مرورگر خود را ریستارت نکردهاید الان موقع آپدیت است. با ما همراه بمانید.
آسیبپذیری CVE-2022-1096
تاکنون گوگل جزئیاتی از هیچیک از این آسیبپذیریها نشر نکرده زیرا خطمشی امنیتی این شرکت حکم میکند دسترسی به شرح جزئیات باگها تا زمانی که اکثریت کاربران مرورگر خود را آپدیت کردند محدود باقی بماند. اما واضح است که این آسیبپذیری CVE-2022-1096 (همانی که گوگ با پچ جداگانهای آن را در تاریخ25 مارس رفع کرد) است که ممکن است مشکلاتی اساسی برای این شرکت ایجاد کند. CVE-2022-1096 به کلاس Type Confusion تعلق دارد؛ یعنی با برخی خطاها در انواع دادههای موتور v8 مرتبط هستند. این آسیبپذیری بیار خطرناک است و دلیلش هم این است که گوگل مجزا و منحصراً برایش پچ اضطراری ارائه کرد. افزون بر این طبق یاداشتهایی که در مورد ارائه پچ بود، گوگل میدانست همان تاریخ 25 مارس این آسیبپذیری داشته اکسپلویت میشده. روز بعدش مایکروسافت همین آسیبپذیری را در مرورگر اج مبتنی بر کرومیوم خودش رفع کرد. اگر بخواهیم اطلاعات موجود را خلاصهبندی کنیم منطقی است اینطور فرض کنیم نه تنها برای این آسیبپذیری اکسپلویتی وجود داشته که حتی داشته فعالانه توسط مهاجمین نیز مورد استفاده قرار میگرفته.
28 آسیبپذیری جدید دیگر
از این 28 آسیبپذیری که در آپدیت آخر گوگل مورد رسیدگی قرار گرفتند اکثرشان (20 آسیبپذیری) را محققین مستقل کشف کردند و هشت تای باقیمانده نیز کار متخصصین داخلی گوگل بود. از آن 9 آسیبپذیری هم در سطح وخیم شناخته شده بودند چهار آسیبپذیری با عناوین
CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133
به کلاس «استفاده بعد از آزادسازی[1]» متعلق بوده و سه تای دیگر با عناوین
CVE-2022-1128, CVE-2022-1129, CVE-2022-1132
به پیادهسازی نادرست در اجزای مختلف مرتبط میشوند. آن یکی هم که CVE-2022-1130 نام دارد ناشی از اعتبارسنجی ناکافی ورودی غیرقابلاعتماد در WebOTP میباشد. مورد آخر نیز که CVE-2022-1134 نام دارد مانند CVE-2022-1096 مشکل Type Confusion است در موتور v8.
راهکار امنیتی
ابتدا میبایست مرورگر خود را به آخرین نسخهاش آپدیت کنید –تا زمان نگارش این مقاله آخرین نسخه 100.0.4896.60 اعلام شده است. اگر نسخه کرومی شما قدیمیتر است یعنی مروگر شما خودکار آپدیت نشده و توصیه میکنیم با استفاده از دستورالعملهای گام به گام به طور دستی آن را آپدیت کنید. اگر از اج مایکروسافت استفاده میکنید پس آپدیت آن نیز فراموش نشود- روش انجامش با کروم مشابه است. هچنین توصیه میکنیم اخبار و آپدیتهای در لحظه را از دست ندهید. همچنین برنامههای مهم از جمله راهکارهای امنیتی، مرورگر، بستههای آفیس و خود سیستمعامل را نیز به موضع به روز کنید. افزون بر این استفاده از راهکارهای امنیتی قابلاطمینان نیز توصیه میشوند. اینها به صورت خودکار هر اقدامی برای اکسپویت آسیبپذیریها را شناسایی کرده و جلوشان را میگیرند پس میتوانید حتی پیش از عرضه پچهای رسمی نیز از خود در برابر حملات محافظت کنید.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
[1] Use after free
