انتشار به‌روزرسانی کروم برای رفع یک آسیب‌پذیری شدید

به گزارش «خبرنامه دانشجویان ایران» به نقل از مرکز ماهر، این آسیب‌پذیری که با شناسه‌ «CVE-۲۰۱۹-۵۸۶۹» ردیابی می‌شود، یک نقص «استفاده پس از آزادسازی» (use-after-free) است که در موتور مرورگر Blink وجود دارد.

Blink یک موتور مرورگر منبع‌باز است که اولین بار در سال ۲۰۱۳ و به‌طور خاص به‌عنوان بخشی از پروژه‌ کرومیوم و با چارچوب‌های مختلف نرم‌افزاری قابل استفاده‌ مجدد برای سیستم‌عامل اندروید، ساخته شد. این موتور مرورگر از گوگل کروم استفاده می‌کند.

موتورهای مرورگر در قلب هر مرورگر اصلی قرار دارند و نقش اصلی آن‌ها، تبدیل اسناد HTML و سایر منابع صفحه‌ وب به نمایش‌های بصری در دستگاه‌های کاربران است.

محققان هشدار دادند که سوءاستفاده‌ موفقیت‌آمیز از آسیب‌پذیری موجود در Blink می‌تواند به مهاجمان اجازه دهد تا کد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را به‌دست آورند، محدودیت‌های امنیتی را دور بزنند، اقدامات غیرمجاز را انجام دهند یا موجب شرایط انکار سرویس (DoS) شوند.

بسته به امتیازات مرتبط با برنامه، مهاجم می‌تواند برنامه‌هایی را نصب کند، داده‌ها را مشاهده یا حذف کرده و آن‌ها را تغییر دهد یا حساب‌های جدید با حقوق کامل کاربر ایجاد کند.

نقص موجود در Blink می‌تواند با ترغیب کاربر به بازدید از یک صفحه‌ وب خاص طراحی‌شده، مورد سوءاستفاده قرار گیرد. بنابراین، مهاجمان می‌توانند از راه دور چنین صفحه‌ وبی را راه‌اندازی کنند و از راه دور به سیستم قربانیان حمله کنند.

این نقص بر نسخه‌های گوگل کروم قبل از ۷۶.۰.۳۸۰۹.۱۳۲ تأثیر می‌گذارد. به‌گفته‌ محققان، در حال حاضر هیچ گزارشی از سوءاستفاده‌ گسترده از این آسیب‌پذیری گزارش نشده است؛ اما گوگل از کاربران ویندوز، مک و لینوکس خواسته است تا مرورگر کروم خود را به نسخه‌ ۷۶.۰.۳۸۰۹.۱۳۲ به‌روز کنند.