تحديث جديد لـGoogle Chrome لسد ثغرة خطيرة جديدة فالمتصفح

Google Chrome Update
الوقت المقدر للقراءة: 2 دقائق

اصدرت Google اصدار جديد و عاجل للمتصفح Chrome و يحذرون مستخدمي Windows , Linux و macOS بسرعة تحديث المتصفح بشكل عاجل لسد الثغرة

بدأ طرح إلاصدار Chrome 77.0.3865.90 إلى المستخدمين في جميع أنحاء العالم يوم الأربعاء ، وهو يحتوي على تصحيحات أمان لثغرة أمنية واحدة بالغة الخطورة و 3 مخاطر شديدة الخطورة ، وأخطرها قد تسمح للمتسللين عن بعد بالسيطرة على النظام المتأثر.

 

قررت Google بالاحتفاظ بي بتفاصيل الثغرات عن اعين العامة لبعض الايام حتى يتسنى لمستخدمين Chrome تحديث المتصفح و يمنع المخترقين استخدام الثغرة

 

في الوقت الحالي ، كشف فريق Chrome الامني فقط أن الثغرات الأربع جميعها تمثل مشكلات في use-after-free في مكونات مختلفة من متصفح الويب ، كما هو مذكور أدناه ، والتي قد تؤدي خطورتها إلى هجمات code execution عن بُعد.

 

use-after-free هي فئة من مشكلات تلف الذاكرة التي تسمح بتلف البيانات أو تعديلها في الذاكرة ، مما يتيح لمستخدم الغير مصرح لهم تصعيد الامتيازات على نظام أو برنامج متأثر.

 

الثغرات المصصحة في كروم اصدار 77.0.3865.90

  • Use-after-free in UI (CVE-2019-13685) — Reported by Khalil Zhani
  • Use-after-free in media (CVE-2019-13688) — Reported by Man Yue Mo of Semmle Security Research Team
  • Use-after-free in media (CVE-2019-13687) — Reported by Man Yue Mo of Semmle Security Research Team
  • Use-after-free in offline pages (CVE-2019-13686) — Reported by Brendon Tiszka

دفعت Google ماكافه قيمتها 40،000 دولار لـ Man Yue Mo من Semmle لكل من الثغرات الأمنية – 20،000 دولار لـ CVE-2019-13687 و 20،000 دولار لـ CVE-2019-13688 – في حين أن مكافآت الأخطاء للثغرين المتبقيين لم يتم تسعير مكافئتها.\

 

قد يتيح الاستغلال الناجح لهذه الثغرات الأمنية للمهاجمين تنفيذ تعليمات برمجية عشوائية في المستعرض فقط من خلال إقناع الضحايا بفتح صفحة ويب مصممة خصيصًا على متصفح Chrome المتأثر ، أو إعادة توجيههم إليها ، دون الحاجة إلى مزيد من التعليمات .

 

استنادًا إلى الإفصاحات السابقة ، قد يؤدي الخلل في use-after-free  أيضًا إلى الكشف عن المعلومات الحساسة وتجاوز القيود الأمنية والإجراءات غير المصرح بها وتسبب هجمات denial-of-service — اعتمادًا على الامتيازات المرتبطة بالتطبيق.

 

على الرغم من أن Google Chrome يُعلم المستخدمين تلقائيًا بأحدث إصدار متاح ، إلا أنه يوصى المستخدمين بتشغيل عملية التحديث يدويًا من خلال الانتقال إلى “مساعدة → حول Google Chrome” من القائمة.

إلى جانب ذلك ، يوصى أيضًا بتحديث جميع البرامج على أنظمتك ، كلما أمكن ذلك ، كمستخدم ذو صلاحيات محدودة لتقليل آثار الهجمات الناجحة التي تستغل أي ثغرة أمنية ذات طابع الـZero-Day.

سنقوم بتحديث هذه المقالة بالجديد حول الثغرات الأمنية هذه بمجرد أن تصدر Google تفاصيلها الفنية.

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

728x90 Explore Twitch Services
300x250 Got an Idea?