پرش به محتوا
آخرین اخبار
دو نقص امنیتی در افزونه Claude برای Chrome همچنان کاربران را تهدید می‌کند مایکروسافت ۶۲۲ نقص امنیتی را برطرف کرد؛ دو مورد در حال سوءاستفاده هستند چهار بسته AsyncAPI در npm به بدافزار Miasma آلوده شدند گوگل و مایکروسافت افزونه محبوب ModHeader را حذف کردند بدافزار جدید CrashStealer از Gatekeeper اپل عبور می‌کند تمدید دوباره دسترسی رایگان به Claude Fable ۵ نسخه جدید RedHook بدون نیاز به رایانه به اندروید نفوذ می‌کند ۶ آسیب‌پذیری بحرانی U-Boot امنیت میلیون‌ها دستگاه را تهدید می‌کند دو نقص امنیتی در افزونه Claude برای Chrome همچنان کاربران را تهدید می‌کند مایکروسافت ۶۲۲ نقص امنیتی را برطرف کرد؛ دو مورد در حال سوءاستفاده هستند چهار بسته AsyncAPI در npm به بدافزار Miasma آلوده شدند گوگل و مایکروسافت افزونه محبوب ModHeader را حذف کردند بدافزار جدید CrashStealer از Gatekeeper اپل عبور می‌کند تمدید دوباره دسترسی رایگان به Claude Fable ۵ نسخه جدید RedHook بدون نیاز به رایانه به اندروید نفوذ می‌کند ۶ آسیب‌پذیری بحرانی U-Boot امنیت میلیون‌ها دستگاه را تهدید می‌کند
اخبار

دو نقص امنیتی در افزونه Claude برای Chrome همچنان کاربران را تهدید می‌کند

تیر ۲۴, ۱۴۰۵ نوشتهٔ hraicp3

کمیته رکن چهارم – پژوهشگران امنیت سایبری هشدار داده‌اند که دو آسیب‌پذیری مهم در افزونه Claude for Chrome همچنان برطرف نشده و می‌تواند راه را برای سوءاستفاده از حساب‌های کاربری و دسترسی به اطلاعات سرویس‌های گوگل باز کند.

به گزارش کمیته رکن چهارم، به نقل از The Hacker News، این آسیب‌پذیری‌ها به افزونه‌های دیگر مرورگر اجازه می‌دهند در صورت داشتن مجوز اجرا روی claude.ai، برخی قابلیت‌های Claude را بدون اطلاع کاربر فعال کنند. در صورت فعال بودن گزینه Act without asking، این عملیات حتی بدون نمایش پیام تأیید نیز انجام می‌شود.

بررسی پژوهشگران نشان می‌دهد این ضعف امنیتی همچنان در جدیدترین نسخه افزونه (۱.۰.۸۰) وجود دارد. مهاجمان می‌توانند با ایجاد کلیک‌های جعلی، وظایفی مانند دسترسی به جیمیل، آخرین سند Google Docs و تقویم Google را فعال کنند.

به گفته پژوهشگران، راهکار موقت برای کاهش خطر، غیرفعال کردن گزینه Act without asking و بررسی افزونه‌هایی است که مجوز دسترسی به claude.ai را دارند. با این حال، تاکنون Anthropic هیچ اصلاحیه امنیتی رسمی برای این دو آسیب‌پذیری منتشر نکرده است.