گوگل اخیراً دو آسیب پذیری مهم را در مرورگر کروم خود با ارائه آپدیت امنیتی فوری برطرف کرد و یکی از آنها type confusion بود که مورد سوءاستفاده قرار گرفته است. آسیبپذیری type confusion (CVE-2022-1364) بر جاوا اسکریپت و موتور WebAssembly مرورگر تاثیر گذاشته و با این نوع نقض، یک برنامه یا درخواست مخرب، با تخصیص منابع (شی یا نشانگر) و با دستکاری حالت نوشتاری و تایپ، سعی میکند به محتوای مورد نظر دسترسی پیدا کند.
این آسیبپذیری میتواند مورد سوءاستفاده قرار گیرد و باعث کرش کردن مرورگر، خطای منطقی و اجرای کدهای مخرب شود. معمولا برای جلوگیری از وقوع type confusion توسعهدهندگان باتجربه یک مکانیزم برای بررسی ورودیهای تایپ شده قرار میدهند تا در صورت اشکال در درخواستهای ورودی، نرمافزار بتواند از این نوع آسیبپذیری جلوگیری کند و منابع سرویس را در دسترس فرد غیرمجاز قرار ندهد.
گوگل ضمن تایید وجود آسیب پذیری type confusion در کروم بیان کرد که این نقض امنیتی در حال اکسپلویت است و جزئیات بیشتری از آن برای حفظ امنیت کاربران تا زمانی که اکثر آنها به نسخهی 100.0.4896.127 آپدیت کنند منتشر نکرد. برای آپدیت به آخرین نسخهی کروم کافی است در منوی سه نقطهای بالا سمت راست مرورگر، Help و سپس About Google Chrome را انتخاب نمایید.
به دلیل اینکه اکثر مرورگرهای دیگر از کد منبع باز گوگل کروم ساخته شدهاند این مشکل تقریبا در آنها نیز وجود دارد و برخی از این مرورگرها شامل Microsoft Edge ،Brave ،Vivaldi و Opera میشود. مرورگر موزیلا از کد منبع کروم استفاده نمیکند و این آسیبپذیری در آن گزارش نشده.
در رابطه با آسیبپذیری و باگ دوم اطلاعات کمتری منتشر شده و گوگل تمایل دارد که اینچنین نیز بماند به دلیل اینکه گسترش اطلاعات آن در اینترنت، امنیت مرورگر گوگل را به خطر میاندازد. ظاهراً این مشکلات در بررسیهای داخلی در خود گوگل کشف شده و چندین مورد نیز است. این سومین بروزرسانی اضطراری گوگل کروم در سال جاری میلادی و سومین آسیبپذیری zero-day در 2022 است.
توسط 
توسط 
دیدگاهتان را بنویسید