شرکت گوگل، مرورگر کروم خود را برای رفع یک نقص شدید که میتواند هکرها را قادر به انجام حملات اجرای کد از راه دور (RCE) کند، بهروز رسانی کرد.
به گزارش کیوسک خبر به نقل از مرکز ماهر، این آسیبپذیری که با شناسه «CVE-۲۰۱۹-۵۸۶۹» ردیابی میشود، یک نقص «استفاده پس از آزادسازی» (use-after-free) است که در موتور مرورگر Blink وجود دارد.
Blink یک موتور مرورگر منبعباز است که اولین بار در سال ۲۰۱۳ و بهطور خاص بهعنوان بخشی از پروژه کرومیوم و با چارچوبهای مختلف نرمافزاری قابل استفاده مجدد برای سیستمعامل اندروید، ساخته شد. این موتور مرورگر از گوگل کروم استفاده میکند.
موتورهای مرورگر در قلب هر مرورگر اصلی قرار دارند و نقش اصلی آنها، تبدیل اسناد HTML و سایر منابع صفحه وب به نمایشهای بصری در دستگاههای کاربران است.
محققان هشدار دادند که سوءاستفاده موفقیتآمیز از آسیبپذیری موجود در Blink میتواند به مهاجمان اجازه دهد تا کد دلخواه را در متن مرورگر اجرا کنند، اطلاعات حساس را بهدست آورند، محدودیتهای امنیتی را دور بزنند، اقدامات غیرمجاز را انجام دهند یا موجب شرایط انکار سرویس (DoS) شوند.
بسته به امتیازات مرتبط با برنامه، مهاجم میتواند برنامههایی را نصب کند، دادهها را مشاهده یا حذف کرده و آنها را تغییر دهد یا حسابهای جدید با حقوق کامل کاربر ایجاد کند.
نقص موجود در Blink میتواند با ترغیب کاربر به بازدید از یک صفحه وب خاص طراحیشده، مورد سوءاستفاده قرار گیرد. بنابراین، مهاجمان میتوانند از راه دور چنین صفحه وبی را راهاندازی کنند و از راه دور به سیستم قربانیان حمله کنند.
این نقص بر نسخههای گوگل کروم قبل از ۷۶.۰.۳۸۰۹.۱۳۲ تأثیر میگذارد. بهگفته محققان، در حال حاضر هیچ گزارشی از سوءاستفاده گسترده از این آسیبپذیری گزارش نشده است؛ اما گوگل از کاربران ویندوز، مک و لینوکس خواسته است تا مرورگر کروم خود را به نسخه ۷۶.۰.۳۸۰۹.۱۳۲ بهروز کنند.