شرکت گوگل هفته گذشته بروزرسانی جدیدی برای مرورگر خود منتشر کرد و مدعی شد که گوگل کروم از نوعی نقص امنیتی بحرانی برخوردار بوده و بهتر است همین حالا مرورگر خود را بروزرسانی کنید. این شرکت طی اعلامیهای اذعان داشت که بهروزرسانی جدید برای رفع این نقص امنیتی منتشر شده است.
هنگام انتشار بروزرسانی، گوگل به نکته اصلی مربوط به این نقص امنیتی اشارهای نکرد، چرا که احتمال میداد در لحظه رونمایی از این بروزرسانی تمامی کاربران مرورگر گوگل کروم در دسترس نباشند و بروزرسانی مرورگر خود را به ساعاتی بعد موکول کنند؛ در این صورت امکان سوءاستفاده هکرها از این اتفاق وجود داشت. به همین دلیل گوگل در ابتدا از اعلام جزئیات این نقص خودداری کرد و به بیان این که باگ جدید از نوع Use-After-Free (UAF) بوده و در ابزار تشخیص گفتار مشاهده شده است اکتفا نمود.
یکی از محققان امنیتی مؤسسه Sophos بهتازگی گزارش جدیدی منتشر کرد و در آن جزئیاتی از نقص موجود در نسخه ۱۱۳.۴۰۴۴.۰.۸۰ کروم را شرح داد. این نسخه برروی سیستم عاملهای ویندوز، مک و لینوکس قابل دسترسی بود که با بروزرسانی منتشر شده نقص امنیتی آن برطرف شده است.
گوگل کروم قابلیتی موسوم به دیالوگ Are you sure? دارد که برحسب آن اگر کاربر به وبسایتهایی وارد شود که از لحاظ امنیتی تائید شده نباشند، با مطرح کردن این پرسش از کاربر میخواهد که در رابطه با استفاده از آن وبسایت دقت عمل بیشتری به خرج دهد. داکلین در وبلاگ NakedSecurity مینویسد که نقص امنیتی مذکور به هکرها این اجازه را میداد که با انجام کارهایی خاص این دیالوگهای امنیتی ” آیا مطمئن هستید ” را دور بزنند.
باگهای UAF معمولا این ویژگی را دارند که امکان تغییر کنترل جریان برنامههای شما را در اختیار هکر قرار دهند، این ویژگی برای باگ مذکور نیز محتمل است. بر اساس این باگها، هکر میتواند با تزریق کدهای مخرب و غیرقابل اعتماد از بیرون به درون حافظه رم، مسیر پردازنده مرکزی سیستم یا همان CPU شما را منحرف کرده و کدهای مورد نظر خود را روی آن به اجرا درآورد.
زمانی که اپلیکیشنی خاص بر روی سیستم شما بدون اجازه حافظه رم به استفاده از بلوکهای درحال اجرا ادامه میدهد، باگهای UAF رخ میدهند. در این حالتها، حتی هنگامی که حافظه رم برخی بلوکها را آزاد میکند، اپلیکیشن بازهم به استفاده از آن بلوکها ادامه میدهد. در این صورت اپلیکیشنهای مخرب میتوانند بلوکهایی را که حافظه رم آزاد کرده است تصاحب کرده و بدون اطلاع کاربر کارهایی انجام دهند که به سیستم زیان وارد کند و در این حالت هیچ اعلانی برای کاربر نمایش داده نخواهد شد. داکلین در این مورد اضافه میکند که احتمال دارد این نوع آسیبپذیری از نوع Remote Code Execution (RCE) یا کنترل از راه دور باشد. این مسئله به معنی آن است که از این طریق هکرها به راحتی میتوانند از راه دور کدهایی روی سیستم شما اجرا کنند که بدون اطلاع شما به سیستمان آسیب برساند.
اگرچه گوگل در بیانیه منتشر شده خود این خبر را تائید کرده بود که مرورگرهای هر سیستم به طور خودکار بروزرسانی شده و میتوانند نسخه بدون این باگ امنیتی را دریافت کنند، داکلین در گزارش خود تاکید میکند که حتما به صورت دستی نیز این بروزرسانی را برای مرورگرهای خود اعمال کنید. لازم به ذکر است که بروزرسانی امنیتی گوگل کروم با شناسه ۱۱۳.۴۰۴۴.۰.۸۱ منتشر شده است.
برای بروزرسانی مرورگر گوگل کروم خود، تنها کافیست روی منوی سه نقطه بالای صفحه کلیک کنید و وارد بخش تنظیمات شوید. سپس با کلیک بر روی گزینه About Chrome وارد صفحه جدیدی میشوید که کروم به صورت خودکار به دنبال بروزرسانی جدید گشته و آن را بر روی سیستم شما نصب خواهد کرد. البته پس از بروزرسانی پیامی برای شما نمایش داده خواهد که از شما میخواهد برای تکمیل فرایند بروزرسانی مرورگر خود را ببندید؛ در این حالت زبانههایی که در مرورگر شما باز هستند پس از باز کردن مجدد مرورگر دوباره باز نخواهند شد. پس بهتر است دقت کنید اگر صفحهای ضروری در مرورگر شما باز است که ممکن است آدرس آن را فراموش کنید، حتما قبل از بروزرسانی آن صفحه را ذخیره کنید.
البته نکته قابل توجه در مورد مرورگر گوگل کروم این است که این مرورگر با ظهور بروزرسانیهای جدید شما را از آنها مطلع کند. نحوه اطلاعرسانی گوگل کروم از روی رنگ سه نقطه منوی بالای صفحه مشخص میشود. زمانی که رنگ سه نقطه منو از خاکستری به رنگ سبز درآمده باشد نشاندهنده این است که یک بروزرسانی جدید در حدود دو روز پیش منتشر شده و هنوز آن را نصب نکردهاید. اگر رنگ سبز را نادیده گرفته و مرورگرتان را بروزرسانی نکنید، در مرحله دوم، سه نقطه بالای صفحه به رنگ نارنجی تبدیل شده که به شما میگوید که چهار روز از انتشار بروزرسانی گذشته است و پس از آن اگر بعد از یک هفته از انتشار بروزرسانی هنوز آن را بر روی سیستم خود نصب نکرده باشید سه نقطه منوی شما به رنگ قرمز درمیآید.
لینک کوتاه: