متصفح كروم معيبة, المليارات من مستخدمي المتصفح مهددة هاك
أفادت التقارير أن Google أطلقت تصحيح أمان طارئ لمتصفح Chrome الخاص بها. نظرا لأنه من المعروف أن متصفح Chrome يحتوي على عيب أمني ضعيف بحيث يتم اختراق المستخدمين بسهولة من قبل المتسللين. تم إطلاق تصحيح الأمان من قبل Google يوم الجمعة 15 أكتوبر 2021.
يعرف الخلل الأمني باسم CVE-2021-37973. يمكن استخدام الثغرة مجانا في واجهة برمجة تطبيقات المداخل، وهو نظام ملاحة على صفحة الويب يسمح لها بعرض صفحات أخرى كمدرجات ويمكن أن "ينقل بسلاسة إلى حالات جديدة، حيث تصبح الصفحات المدرجة سابقا مستندات رفيعة المستوى".
وقد لاحظ الضعف لأول مرة كليمنت ليكوين من مجموعة تحليل التهديدات. ومع ذلك، لم يتم الكشف عن الخلل الأمني الضعيف بمزيد من التفصيل لأنه يتعلق بالاستغلال النشط حتى يتمكن المستخدمون من تنفيذ تصحيح الأمان.
من ناحية أخرى، تدرك Google أيضا أن استغلال "CVE-2021-37973 موجود في البرية". تم إطلاق ترقية تصحيح الأمان لمتصفح Chrome بعد يوم واحد من إغلاق Apple لعيب أمني تم استغلاله بنشاط في الإصدارات القديمة من Chrome وMacOS.
ويزعم أن التحسينات الأمنية من جوجل لتكون قادرة على التغلب على الكروم 11th 'صفر يوم' استغلال. تؤثر مشكلة عدم الحصانة هذه على مستخدمي المتصفح على Linux وMacOS وWindows. للحصول على معلومات، تعني مآثر "اليوم الصفري" أن القراصنة يمكنهم بالفعل إدخال الفجوة حتى قبل أن تطلق Google تحديثات الأمان التي يمكن أن تؤدي إلى القرصنة على محمل الجد.
حاليا متصفح كروم لديها 2.65 مليار مستخدم. هذا الرقم هو هدف سهل للقراصنة. يوم الصفر هو مشكلة عدم حصانة أخرى للمستخدم بعد التوفر (UAF). وذكرت مجلة فوربس أن القوات المسلحة المتحدة غالبا ما يستخدمها القراصنة لاستغلال ضحاياها.
يمكن أن تعالج أحدث تصحيحات الأمان من Google 12 ثغرة أمنية في اليوم الصفري في متصفح Chrome منذ بداية عام 2021:
CVE-2021-21148 - تجاوز المخزن المؤقت للكومة في V8
CVE-2021-21166 - إعادة تدوير الكائن المشكلة في الصوت
CVE-2021-21193 - استخدام بعد مجانا في بلينك
CVE-2021-21206 - استخدام بعد خالية في بلينك
CVE-2021-21220 - التحقق من صحة غير موثوق بها الإدخال غير موثوق بها في V8 x86_64
CVE-2021-21224 - نوع الارتباك في V8
CVE-2021-30551 - نوع الارتباك في V8
CVE-2021-30554 - استخدام بعد مجانا في WebGL
CVE-2021-30563 - نوع الارتباك في V8
CVE-2021-30632 - خارج الحدود الكتابة في V8
CVE-2021-30633 - استخدام بعد خالية في مفهرسة DB API
مع هذا الخلل الأمني، من المتوقع أن يقوم مستخدمو Chrome بتحديث المتصفح على الفور إلى أحدث إصدار 94.0.4606.61. الخدعة، يحتاج المستخدمون فقط للذهاب إلى الإعدادات، ثم انقر فوق مساعدة، حدد "حول Google Chrome". من خلال تحديث متصفح Chrome من المتوقع أن يقلل من احتمال التعرض للاختراق.