روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ یک آسیب‌پذیری مرورگرِ دیگر کشف شد! به طور حتم تعداد حفره‌های امنیتی خطرناک در عرض یک هفته دو برابر می‌شود. همین چند وقت پیش بود که گفتیم به دلیل باگ بزرگ در وب‌کیت اپل (موتوری داخل سافاری و سایر مرورگرها در آی‌اواس) مک‌اواس و آی‌اواس باید حتماً آپدیت شوند و حالا خطر مشابه از نظر قابلیت اکسپلویت سایر مرورگرها را نیز دارد تهدید می‌کند که باید آپدیتی فوری انجام داد. این بار تمرکزمان را روی گوگل کروم و مرورگرهای مربوطه گذاشته‌ایم. با ما همراه باشید.

آسیب‌پذیری‌ها در موتور V8

آسیب‌پذیری CVE-2023-2033 در موتور V8 که برای پردازش جاوااسکریپت استفاده می‌شود پیدا شده است. محققین تیم TAG[1] که پیشتر آسیب‌پذیری آی‌اواس و مک‌اواس را کشف کردند این بار هم دست به کشف زدند. طبق سیاست همیشگی، گوگل جزئیات آسیب‌پذیری را دست کم تا زمانیکه بیشتر کاربران مرورگرهای خود را آپدیت کنند ارائه نمی‌دهد و از این رو هنوز جزئیات زیادی در مورد این حفره امنیتی در دست نیست. آنچه می‌دانیم اما این است که اکسپلویت این آسیب‌پذیری هم‌اکنون وجود دارد. برای اکسپلویت موفق، مهاجمین باید کاری کنند قربانی مجاب شود به وب‌پیج مخربی جذب شود. این کار به آن‌ها قدرت می‌دهد تا روی کامپیوتر تارگت کد دلخواه اجرا کنند.

مانند آسیب‌پذیری پیشتر کشف‌شده در وب‌کیت سافاری، این حفره امنیتی نیز حملات کلیک صفر[2] را میسر می‌کند. به بیانی دیگر، مجرمان سایبری می‌توانند بدون هیچ عمل فعالی از جانب کاربر اقدام به آلوده کردن دستگاه کنند- فقط کافیست قربانی از سایتی خطرناک دیدن کند! گفته می‌شود آسیب‌پذیری مذکور دست‌کم در نسخه‌های دسکتاپی همه مرورگرهای مبتنی بر کرومیوم وجود دارد؛ این یعنی نه تنها خود گوگل کروم که همچنین مایکروسافت اج، اپرا، یاندکس، ویوالدی و بریو و کلی مرورگر دیگر. احتمالاً اپ‌های مبتنی بر الکترون نیز تحت‌الشعاع قرار گرفته باشند. قبل‌تر هم نوشته بودیم که چنین برنامه‌هایی در اصل وب‌پیج هستند که در مرورگر کرومیم باز می‌شوند.

چطور از خود محافظت کنیم؟

برای خنثی کردن تهدید CVE-2023-2033 روی کامپیوترتان، توصیه می‌کنیم همه مرورگرهای مبتنی بر کرومیوم را که رویش نصب شدند به روز کنید. اما اگر بخواهیم توصیه‌هایی خلاصه و موجز ارائه دهیم:

•         گوگل کروم خود را به نسخه‌ی  112.0.5615.121 آپدیت کنید.
•         در سایر اپ‌های مبتنی بر کرومیوم نیز آسیب‌پذیری را پچ کنید: می‌توانید برای پیدا کردن پچ جهت آپدیت مایکروسافت اج به نسخه‌ی 112.0.1722.48 به اینجا مراجعه کنید و این درحالیست که وبسایت‌های ویوالدی و بریو از قبل برا این مرورگرها پچ دارند.
•         همیشه بعد از آپدیت، مرورگر را ریستارت کنید؛ در غیر این صورت آپدیت اثر نخواهد کرد.
•         همه اپ‌های مبتنی بر الکترون را نیز به روز کنید (پچ‌های مخصوص آن‌ها احتمالاً کمی بعدتر موجود خواهد شد).

و البته که باید برای محافظت از همه دستگاه‌های خود آن‌ها را به آنتی‌ویروسی مطمئن استفاده کنید. چنین آنتی‌ویروسی از شما در برابر آسیب‌پذیری‌هایی که از قبل اکسپلویت شدند اما هنوز پچی برایشان عرضه نشده محافظت می‌کنند.

[1] Threat Analysis Group

[2]  zero-click attacks

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.