هکرها می‌توانند کد دلخواه را اجرا کنند

چند آسیب‌پذیری در مرورگر گوگل کروم شناسایی شده‌است که می‌توانند توسط مهاجم منجر به اجرای دلخواه کد شوند.

به گزارش افتانا، آسیب‌پذیری‌هایی در مرورگر گوگل کروم کشف شده اند که به مهاجمان امکان می‌دهد در صورت بهره‌برداری موفق، برنامه‌های مختلف را نصب و آن‌ها را پیکربندی کرده، داده‌ها را مشاهده کرده، تغییر دهند یا حذف کنند و یا حتی حساب‌های کاربری جدید با بالاترین دسترسی مانند حساب‌های مدیریتی ایجاد کنند. این آسیب‌پذیری‌ها در موتور جاوا اسکریپت، ضبط صفحه ‌نمایش، جریان رسانه، صوت، پیمایش و ابزارهای توسعه‌دهنده گوگل کروم وجود دارند که شدیدترین آن‌ها می‌تواند منجر به اجرای کد دلخواه شود.

نقص در پیاده‌سازی V8 با شناسه CVE-2024-6772، اشتباه در تشخیص نوع V8 با شناسهCVE-2024-6773 ، استفاده پس از آزادسازی در Screen Capture با شناسه CVE-2024-6774، استفاده پس از آزادسازی در Streamها با شناسه CVE-2024-6775، استفاده پس از آزادسازی در صوت با شناسه CVE-2024-6776، استفاده پس از آزادسازی در Navigation با شناسه CVE-2024-6777، مسابقه در ابزارهای توسعه (DevTools) با شناسهCVE-2024-6778 ، دسترسی به حافظه خارج از محدوده درV8 با شناسه CVE-2024-6779 برخی از این آسیب‌پذیری‌ها هستند.

نسخه‌های کروم قبل از 126.0.6478.182/183 در سیستم‌عامل ویندوز و مک، نسخه‌های کروم قبل از 126.0.6478.182 در سیستم‌عامل لینوکس تحت تاثیر این آسیب‌پذیری‌ها هستند.

نهادهای دولتی و کسب‌وکارها با هر سطحی در معرض این آسیب‌پذیری‌ها قرار دارند و باید به‌روزرسانی‌های مناسب در محصولات آسیب‌پذیر گوگل کروم اعمال شود. به‌روزرسانی‌های نرم‌‌افزاری به صورت خودکار و حداقل ماهانه روی دارایی‌های سازمانی اعمال شده و آسیب‌پذیری‌های شناسایی شده در نرم‌افزارها حداقل ماهانه بر اساس فرایند رفع آسیب‌پذیری برطرف شوند.

سازمان‌ها باید مطمئن شوند کاربران فقط از نسخه‌های رسمی و به‌روز مرورگرها و کلاینت‌های ایمیل استفاده می‌کنند. همچنین باید به هر کاربر، برنامه یا فرایند، فقط حداقل دسترسی‌‌های مورد نیاز برای انجام وظایف آنها داده شود. محدود کردن دسترسی‌ها به حداقل ممکن کمک می‌کند تا در صورت نفوذ مهاجم، آسیب‌ها و خسارت‌ها، به حداقل کاهش یابد. محدود کردن دسترسی به وب‌سایت‌های خاص و مسدود کردن دانلود فایل‌ها و پیوست‌ها و مسدود کردن اجرای جاوا اسکریپت و محدود کردن استفاده از افزونه‌های مرورگر نیز در این مرود موثر خواهد بود. آموزش و آگاه‌سازی کاربران در خصوص تهدیدات ناشی از لینک‌های Hypertext در ایمیل‌ها یا پیوست‌ها، به ویژه از منابع غیرقابل اعتماد و ایجاد و حفظ برنامه آگاه‌سازی امنیتی سازمان نیز از ضروریات است.