روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ گوگل پنجمین آسیبپذیری روز صفر را که مدام در حال اکسپلویت بود پچ کرد. این آسیبپذیری سال جاری در کروم کشف شد و پچ گوگل یکی از مجموعه فیکسهایی محسوب میشود که در آپدیت کانال پایدار منتشر شده. نام باگ CVE-2022-2856 است و در سیستم امتیازدهی رایج آسیبپذیری (CVSS) امتیاز بالایی گرفته است. با توجه به توصیههایی که گوگل کرده است گمان میرود این آسیبپذیری با تأیید اعتبار ناکافی ورودی در ارتباط باشد. با ما همراه شوید تا این باگ را بیشتر مورد بررسی قرار دهیم.
گوگل، اعتبار گزارش باگ روز صفر مورد نظر را به اشلی شن و کریسشن رسل از گروه تحلیل تهدید گوگل (TAG) میدهد؛ باگی که در تاریخ 19 جولای امکان داشت به اجرای کد دلخواه منجر شود. گوگل همچنین 10 پچ دیگر برای سایر مشکلات کرومی ارائه داده است.
اینتنتها[1] قابلیت لینکدهی عمیق روی دستگاه اندروید آن هم داخل مرورگر کروم هستند که در واقع جایگزین طرحهای URI شدهاند (پیش از این، طرحهای URI مسئولیت این کار را بر عهده داشتند). شرکت Branch که برای اپهای موبایل گزینههای لینکینگِ مختلفی ارائه میدهد در وبسایت خود چنین مینویسد: «توسعهدهندگان به جای اختصاص دادن window.location یا iframe.src به طرح URI در کروم باید از رشتههای اینتنت –همانطور که در این داکیومنت تعریف شده است- استفاده کنند». اینتنت شاید پیچیدگی کار را بیشتر کند اما به طور خودکار موارد مربوط به نصب نشدن اپ موبایل درون لینکها را مدیریت میکند. اعتبارسنجی ناکافی به بخش اعتبارسنجی ورودی مربوط میشود؛ تکنیکی که برای بررسی ورودیهای بالقوه خطرناک زیاد به کار میرود تا تضمین داده شود آنها برای پردازش داخل کد یا وقتی با سایر اجزا در تعاملند امن هستند.
وقتی نرمافزار بدرستی ورودی را اعتبارسنجی نکند، مهاجم قادر است ورودی را طوری دستکاری کند که بقیهی اجزای اپ حتی انتظارش را هم نداشته باشند. این میتواند به دریافت ورودیهای اینتنتنشده از سوی اجزای سیستم منجر شود که همین تغییر در جریان کنترل، کنترل دلخواه منبع یا اجرای کد دلخواه را موجب میشود.
جلوگیری از اکسپلویتها
گوگل طبق روال معمول ریز اطلاعات این باگ را فاش نکرد تا وقتی به طور گسترده پچ شود. هدف این است که عاملین تهدید نتوانند بیشتر از اینها از باگ بهرهجویی کنند؛ این نوعی استراتژی است که به گفتهی یکی از حرفههای حوزه امنیت استراتژی عقلانیای است. این متخصص حوزه امنیتی کسی نیست جز ساتنام نارانگ از شرکت امنیت سایبری Tenable: «عمومی کردن اطلاعات در مورد آسیبپذیری روز صفری که دارد فعالانه اکسپلویت میشود درست به محض اینکه پچی برایش ارائه میشود پیامدهای زیادی خواهد داشت زیرا زمان میبرد تا آپدیتهای امنیتی همگانی انجام شود و سیستمهای آسیبپذیر همه یکسان مجهز شوند. در این میان مهاجمین میتوانند از هرج و مرج بوجود آمده استفاده کرده و حسابی جولان دهند». نگه داشتن اطلاعات همچنین از این جهت میتواند منطقی باشد که سایر توزیعهای لینوکس و مرورگرها مانند اجِ مایکروسافت هم میتوانند کدی داشته باشند که مبتنی است بر پروژهی کرومیوم گوگل. اگر آسیبپذیریای اکسپلویت شود همه اینها تحتالشعاع قرار میگیرند. نارانگ اضافه میکند: «نگه داشتن اطلاعات آسیبپذیری بسیار ارزشمند است». گرچه اکثیت فیکسهای این آپدیت برای آسیبپذیریهای درجه بالا و متوسط است اما گوگل باگ دیگری را با عنوان CVE-2022-2852 نیز پچ کرده است؛ یک مشکل use-after-free که در تاریخ 8 آگست توسط فردی به نام سرگی گلازونف از Google Project Zero به [2]FedCM گزارش شد.
پچ پنجمین روز صفر کروم
پچ رز صفری که امروز از آن حرف زدیم در واقع تا اینجای کار پنجمین باگ کروم بوده است که مورد حمله فعال قرار گرفته. جولای سال جاری این شرکت یک نقص سرریز بافر[3] با عنوان CVE-2022-2294 را در موتور WebRTC که به کروم قابلیت تعامل در لحظه میدهد رفع کرد؛ این درحالیست که ماه می نیز باگ سرریز بافر دیگری نیز با عنوان CVE-2022-2294 ردیابی و فیکس. ماه آوریل این شرکت نوعی باگ تایپ کانفیوژن[4] را با نام CVE-2022-1364 رفع کرد که استفاده از موتور جاوااسکریپت وی 8 کروم را تحتالشعاع قرار داده بود. ماه پیش نیز یک تایپ کانفیوژن جداگانه در وی 8 شناسایی شد که با نام CVE-2022-1096 ردیابی و پچ شد. ماه فوریه هم شاهد اولین فیکس روز صفر سال میلادی جدید بود؛ یک باگ use-after-free در اجزای انیمیشن کروم با عنوان CVE-2022-0609 که از پیش مورد حمله قرار گرفته بود. بعدها کاشف به عمل آمد که هکرهای کرده شمالی هفتهها قبل از اینکه این باگ کشف و پچ شود داشتند آن را اکسپویت میکردند.
[1]INTENTدر واقع پیامی است که برای درخواست انجام یک عمل در بین اعضای برنامه اندروید مبادله میشود.
[2]مخفف Federated Credential Management API که کارش ارائهی ایدههای مختص به هر مورد برای جریانهای هویت فدرال در وب است.
[3]در امنیت کامپیوتر و برنامه نویسی، سرریز بافر، یا تاخت و تاز کردن بافر، یک استثنا است که در آن برنامه، هنگامی که در حال نوشتن دادهها به بافر است، از مرز بافر تخطی میکند و باعث رونویسی حافظه مجاور میشود. این یک مورد خاص از نقض ایمنی حافظهاست. سرریزهای بافر توسط ورودی طراحی شدهاند که برای اجرای کد، یا راه عمل برنامه را تغییر میدهند، باعث شدهاست. این امر ممکن است در رفتار نامنظم، از جمله خطاهای دسترسی به حافظه، نتایج نادرست، تصادف، یا نقض امنیت سیستم منجر شود. بنابراین، آنها اساس بسیاری از آسیبپذیریهای نرمافزار است و میتواند مخرب مورد سوء استفاده قرار بگیرند.
[4] TYPE CONFUSION
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
