کمیته رکن چهارم – چند آسیبپذیری در مرورگر گوگل کروم شناسایی شدهاست که میتوانند توسط مهاجم منجر به اجرای دلخواه کد شوند.
آسیبپذیریهایی در مرورگر گوگل کروم کشف شده اند که به مهاجمان امکان میدهد در صورت بهرهبرداری موفق، برنامههای مختلف را نصب و آنها را پیکربندی کرده، دادهها را مشاهده کرده، تغییر دهند یا حذف کنند و یا حتی حسابهای کاربری جدید با بالاترین دسترسی مانند حسابهای مدیریتی ایجاد کنند. این آسیبپذیریها در موتور جاوا اسکریپت، ضبط صفحه نمایش، جریان رسانه، صوت، پیمایش و ابزارهای توسعهدهنده گوگل کروم وجود دارند که شدیدترین آنها میتواند منجر به اجرای کد دلخواه شود.
نقص در پیادهسازی V8 با شناسه CVE-2024-6772، اشتباه در تشخیص نوع V8 با شناسهCVE-2024-6773 ، استفاده پس از آزادسازی در Screen Capture با شناسه CVE-2024-6774، استفاده پس از آزادسازی در Streamها با شناسه CVE-2024-6775، استفاده پس از آزادسازی در صوت با شناسه CVE-2024-6776، استفاده پس از آزادسازی در Navigation با شناسه CVE-2024-6777، مسابقه در ابزارهای توسعه (DevTools) با شناسهCVE-2024-6778 ، دسترسی به حافظه خارج از محدوده درV8 با شناسه CVE-2024-6779 برخی از این آسیبپذیریها هستند.
نسخههای کروم قبل از ۱۲۶٫۰٫۶۴۷۸٫۱۸۲/۱۸۳ در سیستمعامل ویندوز و مک، نسخههای کروم قبل از ۱۲۶٫۰٫۶۴۷۸٫۱۸۲ در سیستمعامل لینوکس تحت تاثیر این آسیبپذیریها هستند.
نهادهای دولتی و کسبوکارها با هر سطحی در معرض این آسیبپذیریها قرار دارند و باید بهروزرسانیهای مناسب در محصولات آسیبپذیر گوگل کروم اعمال شود. بهروزرسانیهای نرمافزاری به صورت خودکار و حداقل ماهانه روی داراییهای سازمانی اعمال شده و آسیبپذیریهای شناسایی شده در نرمافزارها حداقل ماهانه بر اساس فرایند رفع آسیبپذیری برطرف شوند.
سازمانها باید مطمئن شوند کاربران فقط از نسخههای رسمی و بهروز مرورگرها و کلاینتهای ایمیل استفاده میکنند. همچنین باید به هر کاربر، برنامه یا فرایند، فقط حداقل دسترسیهای مورد نیاز برای انجام وظایف آنها داده شود. محدود کردن دسترسیها به حداقل ممکن کمک میکند تا در صورت نفوذ مهاجم، آسیبها و خسارتها، به حداقل کاهش یابد. محدود کردن دسترسی به وبسایتهای خاص و مسدود کردن دانلود فایلها و پیوستها و مسدود کردن اجرای جاوا اسکریپت و محدود کردن استفاده از افزونههای مرورگر نیز در این مرود موثر خواهد بود. آموزش و آگاهسازی کاربران در خصوص تهدیدات ناشی از لینکهای Hypertext در ایمیلها یا پیوستها، به ویژه از منابع غیرقابل اعتماد و ایجاد و حفظ برنامه آگاهسازی امنیتی سازمان نیز از ضروریات است.
منبع : افتانا