در کروم ۷۸ قابلیت DNS امن ارائه شده و ۳۷ آسیب‌پذیری وصله شده است

شرکت گوگل این هفته به‌روزرسانی را برای کروم منتشر کرده و نسخه‌ی پایدار کروم ۷۸ را ارائه کرده است. در کروم ۷۸ بهبودهای زیادی حاصل شده و در مجموع ۳۷ آسیب‌پذیری وصله شده است. این آسیب‌پذیری‌ها توسط محققان خود شرکت و محققان خارجی شناسایی و گزارش شده‌اند. یکی از بهبودهای مهم و اساسی که در کروه ۷۸ شاهد هستیم معرفی ویژگی DNS بر روی ‌HTTPS ( ویژگی DNS-over-HTTPS (DoH)) است. ارائه‌ی این ویژگی در قالب آزمایشی است که بررسی می‌کند آیا پیاده‌سازی این فناوری در مرورگر قابل انجام است یا خیر. تمامی بسترهایی که گوگل پشتیبانی می‌کند به‌جز لینوکس و iOS این ویژگی را دریافت خواهند کرد.

در نسخه‌ی جدید از کروم قرار است به کاربران در صورتی که گذرواژه‌های آن‌ها در نقض داده‌ها مشاهده شده باشد، هشدار داده شود. این هشدار قرار است توسط گزینه‌ای که مدیریت گذرواژه را در این مرورگر برعهده دارد و Check password safety نام دارد، انجام شود. گفتنی است این ویژگی در مرحله‌ی آزمایش قرار دارد. همچنین لازم است کاربر وارد حساب کاربری خود شده باشد و حساب کاربری توسط گوگل synced شده باشد.

از ۲۱ آسیب‌پذیری که توسط محققان خارج از شرکت گوگل گزارش شده، ۳ مورد با شدت بالا، ۱۲ مورد متوسط و ۶ آسیب‌پذیری با درجه‌ی اهمیت کم ارزیابی شده‌اند. از جمله آسیب‌پذیری‌های مهم به اشکال استفاده پس از آزادسازی در مولفه‌ی مدیا و آسیب‌پذیری buffer overrun در Blink می‌توان اشاره کرد. به این آسیب‌پذیری‌ها شناسه‌های CVE-2019-13699 و CVE-2019-13700 اختصاص یافته و گوگل برای گزارش آن‌ها ۲۰ و ۱۵ هزار دلار پاداش پرداخت کرده است. آسیب‌پذیری سوم دارای شناسه‌ی CVE-2019-13701 است و یک اشکال جعل URL محسوب می‌شود که برای گزارش آن هزار دلار پاداش پرداخت شده است.

از جمله آسیب‌پذیری‌های مهم که در کروم ۷۸ وصله شده می‌توان به آسیب‌پذیری ارتقاء امتیاز در Installer با شناسه‌ی CVE-2019-13702، آسیب‌پذیری جعل نوار URL با شناسه‌ی CVE-2019-13703، آسیب‌پذیری دور زدن CSP با شناسه‌ی CVE-2019-13704، آسیب‌پذیری دور زدن مجوزهای افزونه‌ها با شناسه‌ی CVE-2019-13705 و آسیب‌پذیری خواندن خارج از محدوده در PDFium با شناسه‌ی CVE-2019-13706 اشاره کرد.

آسیب‌پذیری‌ها متوسط که در کروم ۷۸ وصله شده‌اند عبارتند از: آسیب‌پذیری افشای فایل‌های ذخیره‌شده با شناسه‌ی CVE-2019-13707، آسیب‌پذیری جعل احراز هویت HTTP با شناسه‌ی CVE-2019-13708، آسیب‌پذیری دور زدن حفاظت دانلود فایل‌ها با شناسه‌‌های CVE-2019-13709 و CVE-2019-13710، آسیب‌پذیری نشت اطلاعات cross-context با شناسه‌ی CVE-2019-13711، آسیب‌پذیری سرریز بافر در expat با شناسه‌ی CVE-2019-15903 و نشت داده‌ی cross-origin با شناسه‌ی CVE-2019-13713. از آسیب‌پذیری‌های با اهمیت کم که در کروم ۷۸ وصله شده می‌توان به اشکالات تزریق CSS با شناسه‌ی CVE-2019-13714، جعل نوار آدرس با شناسه‌ی CVE-2019-13715، خطای وضعیت service worker با شناسه‌ی CVE-2019-13716 و جعل IDN با شناسه‌ی CVE-2019-13718 اشاره کرد. نسخه‌ی کروم ۷۸٫۰٫۳۹۰۴٫۷۰ در حال حاضر برای بسترهای ویندوز، مک و لینوکس قابل دانلود است.

آسیب‌پذیری‌ها متوسط که در کروم ۷۸ وصله شده‌اند عبارتند از: آسیب‌پذیری افشای فایل‌های ذخیره‌شده با شناسه‌ی CVE-2019-13707، آسیب‌پذیری جعل احراز هویت HTTP با شناسه‌ی CVE-2019-13708، آسیب‌پذیری دور زدن حفاظت دانلود فایل‌ها با شناسه‌‌های CVE-2019-13709 و CVE-2019-13710، آسیب‌پذیری نشت اطلاعات cross-context با شناسه‌ی CVE-2019-13711، آسیب‌پذیری سرریز بافر در expat با شناسه‌ی CVE-2019-15903 و نشت داده‌ی cross-origin با شناسه‌ی CVE-2019-13713. از آسیب‌پذیری‌های با اهمیت کم که در کروم ۷۸ وصله شده می‌توان به اشکالات تزریق CSS با شناسه‌ی CVE-2019-13714، جعل نوار آدرس با شناسه‌ی CVE-2019-13715، خطای وضعیت service worker با شناسه‌ی CVE-2019-13716 و جعل IDN با شناسه‌ی CVE-2019-13718 اشاره کرد. نسخه‌ی کروم ۷۸٫۰٫۳۹۰۴٫۷۰ در حال حاضر برای بسترهای ویندوز، مک و لینوکس قابل دانلود است.

منبع

Related posts

Leave a Comment

14 + دوازده =