کروم ۷۹ آسیب‌پذیری‌های بحرانی را وصله می‌کند

گوگل هفته‌ی گذشته کروم ۷۹ را با ۵۱ وصله‌ی امنیتی منتشر کرد که ۳۷ مورد از آسیب‌پذیری‌ها توسط پژوهش‌گران خارجی گزارش شده بود و از بین آن‌ها دو آسیب‌پذیری بحرانی بود. از بین سایر اشکالات گزارش‌شده توسط پژوهش‌گران خارجی، ۸ مورد با شدت بالا، ۱۸ مورد با شدت متوسط و ۹ مورد با شدت پایین ارزیابی شده‌اند.

یکی از این دو آسیب‌پذیری بحرانی CVE-2019-13725، یک آسیب‌پذیری استفاده پس از آزادسازی در مؤلفه‌ی بلوتوث است که توسط Gengming Liu و Jianyu Chen  از آزمایشگاه امنیتی Tencent Keen گزارش شد و دیگری CVE-2019-13726، یک آسیب‌پذیری سرریز بافر هیپ در مدیریت گذرواژه است که توسط Sergei Glazunov از پروژه‌ی صفر گوگل گزارش شد.

گوگل اعلام کرد که برای آسیب‌پذیری استفاده پس از آزادسازی ۲۰ هزار دلار پاداش داده است، اما هنوز پاداش اشکال سرریز بافر هیپ را مشخص نکرده است.

آسیب‌پذیری‌های با خطر بالا که در این نسخه رفع شده‌اند، شامل اعمال سیاست نادرست در WebSockets، نوشتن خارج از محدوده در V8، استفاده پس از آزادسازی در WebSockets، type confusion در V8، استفاده پس از آزادسازی در WebAudio و نوشتن خارج از محدوده در SQLite است.

آسیب‌پذیری‌های با شدت متوسط شامل یک سرریز عدد صحیح در PDFium، اعمال سیاست نادرست در تکمیل خودکار، پیمایش، Omnibox، کوکی‌ها، صدا و ابزارهای توسعه‌دهنده، رابط‌های امنیتی نامناسب در Omnibox، به اشتراک‌گذاری و مدیریت پروتکل خارجی، اعتبارسنجی نامناسب ورودی غیرقابل اطمینان در Blink، خواندن خارج از محدوده و اعتبارسنجی نامناسب داده در SQLite هستند.

آسیب‌پذیری‌های با شدت پایین که در کروم ۷۹ وصله شدند شامل اعمال سیاست نادرست در افزونه‌ها، پیمایش، دانلودها، پرداخت‌ها و رابط‌های امنیتی نامناسب در چاپ و Omnibox هستند.

گوگل همچنین در مرورگر خود شامل یک هشدار در هنگام مواجهه با گذرواژه‌های استفاده‌شده، است. کروم به کاربران این گذرواژه‌ها در هنگام تلاش برای ورود به وب‌گاه‌ها هشدار می‌دهد. این امکان قبلاً از طریق یک افزونه در دسترس بود اما درحال‌حاضر در برنامه تعبیه شده است.

به‌طور کلی، گوگل ۸۰ هزار دلار به پژوهش‌گران امنیتی پاداش داده است اما هنوز مبلغ پرداخت‌شده برای ۱۰ مورد از این آسیب‌پذیری‌ها ازجمله یک آسیب‌پذیری بحرانی و چهار مسأله با شدت بالا را افشا نکرده است. نسخه‌‌ی جدید مرورگر کروم برای ویندوز، مک و لینوکس درحال‌حاضر آماده‌ی دانلود است.

منبع

پست‌های مشابه

Leave a Comment