روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ یک آسیبپذیری مرورگرِ دیگر کشف شد! به طور حتم تعداد حفرههای امنیتی خطرناک در عرض یک هفته دو برابر میشود. همین چند وقت پیش بود که گفتیم به دلیل باگ بزرگ در وبکیت اپل (موتوری داخل سافاری و سایر مرورگرها در آیاواس) مکاواس و آیاواس باید حتماً آپدیت شوند و حالا خطر مشابه از نظر قابلیت اکسپلویت سایر مرورگرها را نیز دارد تهدید میکند که باید آپدیتی فوری انجام داد. این بار تمرکزمان را روی گوگل کروم و مرورگرهای مربوطه گذاشتهایم. با ما همراه باشید.
آسیبپذیریها در موتور V8
آسیبپذیری CVE-2023-2033 در موتور V8 که برای پردازش جاوااسکریپت استفاده میشود پیدا شده است. محققین تیم TAG[1] که پیشتر آسیبپذیری آیاواس و مکاواس را کشف کردند این بار هم دست به کشف زدند. طبق سیاست همیشگی، گوگل جزئیات آسیبپذیری را دست کم تا زمانیکه بیشتر کاربران مرورگرهای خود را آپدیت کنند ارائه نمیدهد و از این رو هنوز جزئیات زیادی در مورد این حفره امنیتی در دست نیست. آنچه میدانیم اما این است که اکسپلویت این آسیبپذیری هماکنون وجود دارد. برای اکسپلویت موفق، مهاجمین باید کاری کنند قربانی مجاب شود به وبپیج مخربی جذب شود. این کار به آنها قدرت میدهد تا روی کامپیوتر تارگت کد دلخواه اجرا کنند.
مانند آسیبپذیری پیشتر کشفشده در وبکیت سافاری، این حفره امنیتی نیز حملات کلیک صفر[2] را میسر میکند. به بیانی دیگر، مجرمان سایبری میتوانند بدون هیچ عمل فعالی از جانب کاربر اقدام به آلوده کردن دستگاه کنند- فقط کافیست قربانی از سایتی خطرناک دیدن کند! گفته میشود آسیبپذیری مذکور دستکم در نسخههای دسکتاپی همه مرورگرهای مبتنی بر کرومیوم وجود دارد؛ این یعنی نه تنها خود گوگل کروم که همچنین مایکروسافت اج، اپرا، یاندکس، ویوالدی و بریو و کلی مرورگر دیگر. احتمالاً اپهای مبتنی بر الکترون نیز تحتالشعاع قرار گرفته باشند. قبلتر هم نوشته بودیم که چنین برنامههایی در اصل وبپیج هستند که در مرورگر کرومیم باز میشوند.
چطور از خود محافظت کنیم؟
برای خنثی کردن تهدید CVE-2023-2033 روی کامپیوترتان، توصیه میکنیم همه مرورگرهای مبتنی بر کرومیوم را که رویش نصب شدند به روز کنید. اما اگر بخواهیم توصیههایی خلاصه و موجز ارائه دهیم:
- گوگل کروم خود را به نسخهی 112.0.5615.121 آپدیت کنید.
- در سایر اپهای مبتنی بر کرومیوم نیز آسیبپذیری را پچ کنید: میتوانید برای پیدا کردن پچ جهت آپدیت مایکروسافت اج به نسخهی 112.0.1722.48 به اینجا مراجعه کنید و این درحالیست که وبسایتهای ویوالدی و بریو از قبل برا این مرورگرها پچ دارند.
- همیشه بعد از آپدیت، مرورگر را ریستارت کنید؛ در غیر این صورت آپدیت اثر نخواهد کرد.
- همه اپهای مبتنی بر الکترون را نیز به روز کنید (پچهای مخصوص آنها احتمالاً کمی بعدتر موجود خواهد شد).
و البته که باید برای محافظت از همه دستگاههای خود آنها را به آنتیویروسی مطمئن استفاده کنید. چنین آنتیویروسی از شما در برابر آسیبپذیریهایی که از قبل اکسپلویت شدند اما هنوز پچی برایشان عرضه نشده محافظت میکنند.
[1] Threat Analysis Group
[2] zero-click attacks
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
