آسیب‌پذیری‌های چندگانه اجرای کد دلخواه در مرورگر گوگل کروم

طبق آخرین گزارشات CIS Security آسیب‌پذیری‌های چندگانه جدید در گوگل کروم کشف شده است که شدیدترین آن‌ها می‌توانند باعث اجرای کد دلخواه بر روی سیستم هدف شوند. سوءاستفاده موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه خود را در مرورگر سیستم قربانی اجرا کنند. بسته به دسترسی‌های داده شده به برنامه، مهاجم می‌تواند اقدام به نصب برنامه، بازدید یا تغییر در اطلاعات موجود یا حتی ایجاد حساب‌های کاربری جدید نماید. اگر در تنظیمات و پیکربندی به نکات امنیتی توجه شود، حتی سوءاستفاده از شدیدترین این آسیب‌پذیری‌ها نیز تأثیر کمتری را نسبت به حالت تنظیمات پیش‌فرض خواهد داشت.
نسخه آسیب‌پذیر این برنامه مربوط به نسخه‌های قبل از 80.0.3987.116 گوگل کروم می‌شود. این آسیب‌پذیری‌ها می‌توانند در صورت مراجعه یا تغییر مسیر دادن‌ کاربر به یک صفحه وب ساختگی خاص، مورد بهره‌برداری قرار گیرند. جزئیات آسیب‌پذیری‌ها به شرح زیر است:
• استفاده پس از آزادسازی در WebAudio (CVE-2020-6384)
• استفاده پس از آزادسازی در speech (CVE-2020-6386)
• ابهام در نوع استفاده در V8 (CVE-2020-6383)

بهره‌برداری موفقیت‌آمیز از شدیدترین این آسیب‌پذیری‌ها می‌تواند به مهاجمان اجازه دهد کد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را بدست آورد، محدودیت‌های امنیتی را دور بزنند و کارهایی غیرمجاز انجام دهند، یا باعث منع از سرویس شوند.
توصیه می‌شود اقدامات زیر انجام شود:
• بلافاصله پس از آزمایش مناسب، وصله مناسب ارائه‌شده توسط گوگل به سیستم‌های آسیب‌پذیر اعمال شود.
• برای کاهش اثر حملات موفقیت‌آمیز، همه‌ی نرم‌افزارها را به عنوان یک کاربر با سطح دسترسی پایین اجرا کنید.
• تذکر به کاربران برای بازدید نکردن وب‌سایت‌های با منبع نامعتبر و همچنین دنبال نکردن لینک‌های ناشناس.
• اطلاع‌رسانی و آموزش کاربران در مورد تهدیدات ناشی از لینک‌های ابرمتن موجود در ایمیل‌ها یا ضمیمه‌ها مخصوصا از منابع نامعتبر و ناشناس.
• اصل POLP یا Principle of Least Privilege را برای تمام سیستم‌ها و سرویس‌ها اعمال کنید.

منبع :

CVE-2020-6384
https://www.cisecurity.org/
https://chromereleases.googleblog.com/