کشف دو باگ امنیتی مهم در مرورگر فایر فاکس firefox
1400/12/16
امنیت سایبری چیست
1401/01/15
گوگل یک بهروزرسانی جدید در مورد باگی کشفشده در انجین منبع باز جاوا اسکریپت ۸ منتشر کرد.
گوگل در مورد این آسیبپذیری بهروزرسانی کانال امن دسکتاپ را توصیه نموده است.
این باگ گوگل کروم که تحت عنوان CVE-2022-1096 شناخته میشود. یک نوع اختلال شناسایی در انجین جاوا اسکریپت ۸ مورداستفاده در گوگل کروم و سایر مرورگرهای بر پایه کروم است.
این اختلال شناسایی چنانچه مایکروسافت درگذشته به آن اشاره نموده است. زمانی ایجاد میشود که نوع دادهای که در حال عبور است شناسایی نمیشود، و بدون توجه به نوع آن بهصورت کورکورانه مورداستفاده قرار میگیرد. و باعث نوعی از اختلال میشود.
در برخی از موارد از نوع عملکرد اشتباهی برای انواعی از کدها استفاده میشود. در موارد نادری هم ممکن است باعث ازکارافتادن کد شود.
گوگل موفق به ارائه جزییات فنی دیگر نشده است اما تأیید کرده که آسیبپذیری CVE-2022-1096 مورد سوءاستفاده قرارگرفته است.
یک متخصص امنیت سایبری در گفتگو با نشریه Threat post در اظهارنظر پیرامون این آسیبپذیری گفته: زمانی که من با خطای رد مجوز و یا نیاز به احراز هویت مواجه میشوم هیچ توصیهای برای مشتریان ندارم شفافیت بیشتر در این مورد از سمت گوگل میتوانست مفید و مؤثر باشد.
یک پچ جهت نیاز اضطراری موارد سوءاستفادههای فعال منتشرشده است. بر اساس نظر کارشناسان تنها یکی از مشکلات را برطرف مینماید. چنین واکنشی از جانب گوگل غیرمعمول است. چراکه آنها در موارد مشابه چندین اشکال پیشآمده را بهطور همزمان برطرف میکردند. البته درمورد سرعت عمل گوگل در انتشار اولین وصله هم باید اذعان نمود وقتیکه برای اولین مرتبه در ۲۳ مارس این آسیبپذیری گزارش شد گروه مهندسین در کمتر از ۴۸ ساعت موفق به انتشار اولین وصله شدند.
آسیبپذیری v8 در گذشته
در سال گذشته نیز سوءاستفاده از آسیبپذیری V8 در حملات سایبری سابقه داشته است
CVE-2021-21148 ۴ فوریه یک آسیبپذیری بینام
CVE-2021-21224 ۲۰ آوریل آسیبپذیری اختلال شناسایی که اجازه کنترل از راه دور را در HTML صادر میکرد
CVE-2021-30551 ۹ ژوئن نوع دیگری از انواع اختلال شناسایی
CVE-2021-30563 ۱۵ جولای از انواع اختلال شناسایی
CVE-2021-30633 ۱۳ سپتامبر نوشتار خارج از محدوده
CVE-2021-37975 ۳۰ سپتامبر سوءاستفاده رایگان
CVE-2021-38003 ۲۸ اکتبر اختلال اجرای نامناسب
CVE-2021-4102 ۱۳ دسامبر سو استفاده رایگان دیگر
