به گزارش خبرنگار فناوری اطلاعات «خبرنامه دانشجویان ایران»؛ گوگل هفتهی گذشته بهروزرسانی جدیدی برای مرورگر کروم (Google Chrome) منتشر کرد. بر اساس اعلام رسمی خود گوگل، بهروزرسانی موردبحث با هدف رفع نوعی نقص امنیتی بحرانی در دسترس قرار گرفته بود. با اینحال امکان داشت در لحظهی انتشار بیانیهی مطبوعاتی همهی کاربران آن را نبینند و بهروزرسانی مرورگر را به ساعتها بعد منتقل کنند. بنابراین در صورت انتشار جزئیات مربوط به آسیبپذیری، هکرها میتوانستند از آن سوءاستفاده کنند.
گوگل نمیخواست افراد سودجو به بهرهبرداری از نقص امنیتی کروم بپردازند، بنابراین در آن زمان جزئیات کامل مربوطبه آسیبپذیری جدید کروم را در دسترس قرار نداد. گوگل در آن زمان تنها گفته بود که باگ جدید کروم از نوع Use-After-Free (یا UAF) است که در ابزار تشخیص گفتار مرورگر، پدیدار شده.
پل داکلین، از محققان امنیتی مؤسسهی Sophos، اخیرا گزارشی جدید منتشر کرده و در آن به بیان جزئیاتی درمورد نقص امنیتی کروم پرداخته است. بدین ترتیب بهتر از قبل میدانیم که نسخهی ۸۱/۰/۴۰۴۴/۱۱۳ کروم برای سیستمهای عامل ویندوز، مک و لینوکس، دقیقا چه مشکلی را رفع کرده است.
بر اساس پست جدید منتشرشده از سوی داکلین در وبلاگ مؤسسهی Sophos با نام NakedSecurity، باگ ایجادشده در کروم میتوانست به هکرها امکان دهد با انجام برخی کارهای خاص، دیالوگهای بررسی موارد امنیتی کروم که از آنها با نام دیالوگ «?Are you sure» یاد میشود را دور بزنند. درواقع کروم بههنگام بازدید کاربر از وبسایتهایی که ممکن است امنیت نداشته باشند، بررسیهایی امنیتی انجام میدهد و با پرسیدن سؤال «آیا مطمئن هستید؟» از کاربر میخواهد که بیشتر درمورد مراجعه به آن وبسایت فکر کند.
همچون بسیاری دیگر از باگهای Use-After-Free، مشکل امنیتی جدید کروم نیز احتمال دارد امکان تغییر کنترل جریان (Flow Control) برنامههای شما را در اختیار هکر قرار دهد. برای مثال هکر میتواند کدهایی مخرب و غیرقابلاعتماد از بیرون به درون حافظه تزریق و سپس با منحرف کردن مسیر پردازندهی مرکزی (CPU)، کدها را روی آن به اجرا دربیاورد.
باگهای UAF وقتی رخ میدهند که اپلیکیشنی خاص به استفاده از بلوکهای حافظهی رمِ درحال اجرا، ادامه میدهد. در این حالتها، حتی هنگامی که حافظهی رم برخی بلوکها را آزاد میکند، اپلیکیشن همچنان به استفاده از آنها ادامه میدهد. حافظهی رم بهگونهای برنامهریزی شده است که در مواردی خاص برخی بلوکها را برای اپلیکیشنهای دیگر کنار بگذارد؛ اما هنگامی که اپلیکیشنی خاص بدون اجازهی رم به استفاده از بلوکها روی بیاورد، باگ UAF رخ میدهد.
باگهای UAF امکان تغییر کنترل جریان (Flow Control) برنامههای شما را در اختیار هکر قرار میدهند.
رخداد این باگ چه آثار زیانباری بههمراه میآورد؟ اپلیکیشهای مخرب میتوانند با بهرهبرداری از این اتفاق، بلوکهایی را که حافظه آزاد کرده است به تصاحب خود دربیاورند و کارهایی را بدون اطلاع کاربر انجام دهند که به سیستم او آسیب برساند. داکلین میگوید از آنجایی که گوگل از آسیبپذیری جدید کروم با برچسب «بحرانی» یاد میکند، احتمالا دارد که این آسیبپذیری از نوع RCE (مخفف Remote Code Execution بهمعنی اجرای کدها از راه دور) باشد. بهبیان بهتر، هکرها میتوانند با بهرهبرداری از باگ جدید کروم، برخی کدهای مخرب را از راه دور روی سیستم شما اجرا کنند بدون اینکه اخطاری روی صفحه ظاهر شود و خودتان بفهمید که آن کد در حال اجرا شدن است.
گوگل چند رو پیش در بیانیهی خود نوشته بود که نسخهی ۸۱/۰/۴۰۴۴/۱۱۳ کروم طی روزها یا هفتههای آینده در دسترس قرار خواهد گرفت. درضمن بههنگام انتشار بهروزرسانی، مرورگر بهصورت خودکار برای بسیاری از کاربران دسکتاپ به نسخهی جدید بهروز خواهد شد. با اینحال داکلین از کاربران درخواست کرده است که بهصورت دستی مرورگر را بهروزرسانی کنند.
روش انجام اینکار:
همین حالا روی منوی سهنقطهی بالای صفحه کلیک کنید و وارد بخش Settings شوید. در بخش تنظیمات شاهد منویی عمودی در کنار صفحه خواهید بود که در آن باید روی گزینهی About Chrome کلیک کنید. در صفحهی جدید، کروم بهصورت خودکار بهدنبال بهروزرسانی جدید میگردد و درصورت انتشار، آن را نصب میکند.
بهطور معمول منوی سهنقطهی بخش بالایی صفحهی اصلی کروم، بههنگام انتشار بهروزرسانی جدید به رنگی خاص مزین میشود. رنگ سبز نشاندهندهی این است که یک بهروزرسانی جدید دو روز پیش منتشر شده و شما هنوز آن را نصب نکردهاید؛ رنگ نارنجی به انتشار بهروزرسانی در چهار روز گذشته اشاره میکند و در نهایت رنگ قرمز را داریم؛ مشاهدهی رنگ قرمز به این معنا است که بهروزرسانی جدید کروم حداقل یک هفته پیش منتشر و هنوز روی مرورگر شما نصب نشده است. درواقع اگر سهنقطهی عمودی قسمت بالای کروم به هر رنگ دیگری به جز خاکستری مزین شدهاند، حتما روی آن کلیک و بهروزرسانی جدید را نصب کنید.
پس از مراجعه به بخش About Chrome اطمینان حاصل کنید که همچون اسکرینشات بالا، نسخهی مرورگر به ۸۱/۰/۴۰۴۴/۱۱۳ بهروز شده باشد. اگر هنوز نسخهی مرورگر به ۸۱/۰/۴۰۴۴/۱۱۳ بهروز نشده است، بدون شک کروم از شما درخواست خواهد کرد فورا مرورگر را بهروزرسانی کنید. درضمن بهدنبال دانلود بهروزرسانی، باید مروگر را ببندید و مجددا باز کنید.
منبع: tomsguide
