زنجیره‌ای از آسیب‌پذیری‌ها که برای گوگل ۱۰۰ هزار دلار آب خورد، به‌طور عمومی افشاء شد

 

گوگل جزئیات زنجیره ای از آسیب پذیری ها در سیستم عامل کروم را منتشر کرد که می تواند منجر به اجرای کد توسط مهاجم شود. محققی که این آسیب پذیری را کشف کرده ۱۰۰ هزار دلار جایزه دریافت کرده است. در ماه مارس سال ۲۰۱۵ میلادی شرکت گوگل اطلاعیه ای صادر کرد که قصد دارد به هرکسی که بتواند بر روی کروم باکس یا کروم بوک یک آلودگی دائمی را از طریق وب سایت ها و در زنجیره ای از بهره برداری ها ایجاد کند، ۱۰۰ هزار دلار جایزه پرداخت خواهد کرد.


در ۱۸ سپتامبر یک محقق امنیتی به گوگل گزارش داد که زنجیره‌ای از آسیب‌پذیری‌ها را کشف کرده که بهره‌برداری از آن‌ها منجر به اجرای کد بر روی سیستم عامل کروم می‌شود. سیستم عامل کروم بر روی دستگاه‌های کروم‌بوک و کروم‌باکس اجرا می‌شود. زنجیره‌ی این آسیب‌پذیری‌ها در ادامه گزارش شده است:
آسیب‌پذیری دسترسی خارج از محدوده به حافظه در ماشین جاوا اسکریپت V8 با شناسه‌ی CVE-2017-15401
آسیب‌پذیری ارتقاء امتیاز در PageState با شناسه‌ی CVE-2017-15402
آسیب‌پذیری تزریق دستور در مولفه‌ی network_diag با شناسه‌ی CVE-2017-15403
آسیب‌پذیری پیمایش مسیر symlink در crash_reporter با شناسه‌ی CVE-2017-15404 و آسیب‌پذیری مشابه در cryptohomed با شناسه‌ی CVE-2017-15405


این محقق کد اثبات مفهومی را ارائه کرده بود که بر روی گوگل کروم ۶۰ و سیستم عامل کروم با نسخه‌ی ۹۵۹۲.۹۴.۰  تست شده بود. گوگل این آسیب‌پذیری را در تاریخ ۲۷ اکتبر با انتشار گوگل کروم ۶۲ و نسخه‌ی ۹۹۰۱.۵۴.۰/۱ وصله کرد. در این نسخه‌های جدید، آسیب‌پذیری تازه کشف‌شده‌ی KRACK نیز وصله شده است. گزارش اولیه‌ای که این محقق برای گوگل ارسال کرده و در آن توضیحات زنجیره‌ی آسیب‌پذیری‌ها ارائه شده بود، توسط این شرکت به‌طور عمومی منتشر شده است. 

 

منبع

پست‌های مشابه

Leave a Comment