به گزارش مرکز ماهر شرکت گوگل، مرورگر کروم خود را برای رفع یک نقص شدید که میتواند هکرها را قادر به انجام حملات اجرای کد از راه دور (RCE) کند، بهروز کرد.
این آسیبپذیری که با شناسهی “CVE-2019-5869” ردیابی میشود، یک نقص «استفاده پس از آزادسازی» (use-after-free) است که در موتور مرورگر Blink وجود دارد.
Blink یک موتور مرورگر منبعباز است که اولین بار در سال 2013 و بهطور خاص بهعنوان بخشی از پروژهی کرومیوم و با چارچوبهای مختلف نرمافزاری قابل استفادهی مجدد برای سیستمعامل اندروید، ساخته شد. این موتور مرورگر از گوگل کروم استفاده میکند. موتورهای مرورگر در قلب هر مرورگر اصلی قرار دارند و نقش اصلی آنها، تبدیل اسناد HTML و سایر منابع صفحهی وب به نمایشهای بصری در دستگاههای کاربران است.
محققان هشدار دادند كه سوءاستفادهی موفقیتآمیز از آسیبپذیری موجود در Blink میتواند به مهاجمان اجازه دهد تا كد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را بهدست آورند، محدودیتهای امنیتی را دور بزنند، اقدامات غیرمجاز را انجام دهند یا موجب شرایط انكار سرویس (DoS) شوند.
بسته به امتیازات مرتبط با برنامه، مهاجم میتواند برنامههایی را نصب کند، دادهها را مشاهده یا حذف کرده و آنها را تغییر دهد یا حسابهای جدید با حقوق کامل کاربر ایجاد کند.
نقص موجود در Blink میتواند با ترغیب کاربر به بازدید از یک صفحهی وب خاص طراحیشده، مورد سوءاستفاده قرار گیرد. بنابراین، مهاجمان میتوانند از راه دور چنین صفحهی وبی را راهاندازی کنند و از راه دور به سیستم قربانیان حمله کنند.
این نقص بر نسخههای گوگل کروم قبل از 76.0.3809.132 تأثیر میگذارد. بهگفتهی محققان، در حال حاضر هیچ گزارشی از سوءاستفادهی گسترده از این آسیبپذیری گزارش نشده است؛ اما گوگل از کاربران ویندوز، مک و لینوکس خواسته است تا مرورگر کروم خود را به نسخهی 76.0.3809.132 بهروز کنند.
منبع :