أطلقت Google مجموعة من الإصلاحات الأمنية لرمز متصفح Chrome و Chromium في وقت سابق من هذا الأسبوع ...
... فقط لتلقي تقرير الضعف من الباحثين في شركة الأمن السيبراني Avast في نفس اليوم.
كان رد Google هو الدفع تحديث آخر بأسرع ما يمكن: إصلاح خطأ واحد يتعامل معه CVE-2022-3723، وصفت مع عادات Google التي لا يمكننا تأكيدها أو نفيها بقولها:
Google على علم بالتقارير التي تفيد بوجود استغلال ل CVE-2022-3723 في البرية.
(تستخدم Apple بانتظام أيضًا نكهة مماثلة غير مرتبطة بإشعار OMG-everybody-there-an-0-day ، باستخدام كلمات مفادها أنها "على دراية بتقرير قد يكون قد تم استغلال مشكلة ما بشكل نشط".)
يعني تحديث Chrome أنك تبحث الآن عن رقم إصدار 107.0.5304.87 او فيما بعد.
بشكل محير ، هذا هو رقم الإصدار المتوقع على Mac أو Linux ، بينما قد يحصل عليه مستخدمو Windows 107.0.5304.87 or 107.0.5304.88، ولا ، لا نعرف سبب وجود رقمين مختلفين هناك.
لما يستحق ، تم وصف سبب هذا الثقب الأمني على أنه "اكتب الارتباك في V8"، وهي اصطلاحية لـ "كان هناك خطأ يمكن استغلاله في محرك جافا سكريبت يمكن تشغيله عن طريق رمز غير موثوق به وبيانات غير موثوقة جاءت على ما يبدو من الخارج بشكل بريء".
بشكل فضفاض ، هذا يعني أنه من شبه المؤكد أن مجرد زيارة موقع ويب مفخخ وعرضه - وهو أمر لا يُفترض أن يقودك إلى طريق الأذى من تلقاء نفسه - قد يكون كافيًا لإطلاق كود مخادع وزرع برامج ضارة على جهازك ، دون أي نوافذ منبثقة أو غيرها من تحذيرات التنزيل.
هذا ما يُعرف في اللغة العامية للجرائم الإلكترونية باسم a من خلال التثبيت.
"على علم بالتقارير"
نحن نخمن ، نظرًا لأن شركة للأمن السيبراني أبلغت عن هذه الثغرة الأمنية ، وبالنظر إلى النشر الفوري تقريبًا لتحديث خطأ واحد ، فقد تم اكتشاف الخلل في سياق تحقيق نشط في اختراق على جهاز كمبيوتر العميل أو الشبكة.
بعد اقتحام غير متوقع أو غير عادي ، حيث لا تظهر مسارات الدخول الواضحة في السجلات ، يلجأ صائدو التهديدات عادةً إلى التفاصيل الدقيقة لسجلات الاكتشاف والاستجابة الموجودة تحت تصرفهم ، في محاولة لتجميع النظام- مستوى تفاصيل ما حدث.
نظرًا لأن تنفيذ التعليمات البرمجية عن بُعد للمتصفح (RCE) غالبًا ما تتضمن عمليات الاستغلال تشغيل شفرة غير موثوق بها جاءت من مصدر غير موثوق به بطريقة غير متوقعة ، وأطلقت سلسلة تنفيذ جديدة لا تظهر عادةً في السجلات ...
... قد لا يكشف الوصول إلى بيانات "الاستجابة للتهديدات" الخاصة بالطب الشرعي المفصل بشكل كاف عن كيفية دخول المجرمين فحسب ، بل قد يكشف أيضًا عن مكان وكيفية تجاوز إجراءات الحماية الأمنية التي كانت موجودة في العادة في النظام.
ببساطة ، العمل بشكل عكسي في بيئة يمكنك فيها إعادة هجوم مرارًا وتكرارًا ، ومشاهدة كيف يتكشف ، غالبًا ما يكشف عن موقع الثغرة القابلة للاستغلال ، إن لم يكن العمل الدقيق.
وكما يمكنك أن تتخيل ، فإن إزالة إبرة بأمان من كومة قش أسهل بكثير إذا كان لديك خريطة لجميع الأجسام المعدنية المدببة في كومة القش لتبدأ بها.
باختصار ، ما نعنيه هو أنه عندما تقول Google "إنها على علم بالتقارير" عن هجوم تم إطلاقه من خلال استغلال Chrome في الحياة الواقعية ، فنحن على استعداد لافتراض أنه يمكنك ترجمة هذا إلى "الخطأ حقيقي ، وهو حقًا يمكن استغلالها ، ولكن نظرًا لأننا لم نحقق بالفعل في النظام المخترق في الحياة الواقعية ، فإننا لا نزال على أرض آمنة إذا لم نخرج مباشرة ونقول ، "مرحبًا ، الجميع ، إنه يوم صفر". "
الخبر السار حول اكتشافات الأخطاء من هذا النوع هو أنها ربما تكشفت بهذه الطريقة لأن المهاجمين أرادوا الحفاظ على سرية كل من الثغرة الأمنية والحيل اللازمة لاستغلالها ، مع العلم أن التباهي بهذه التقنية أو استخدامها على نطاق واسع سيعجل اكتشافها و وبالتالي تقصير قيمتها في الهجمات المستهدفة.
يمكن أن تكون عمليات استغلال RCE للمتصفح اليوم معقدة للغاية ومكلفة للحصول عليها ، مع الأخذ في الاعتبار مقدار الجهد الذي بذلته مؤسسات مثل Mozilla و Microsoft و Apple و Google في تقوية متصفحاتها ضد حيل تنفيذ التعليمات البرمجية غير المرغوب فيها.
بعبارة أخرى ، فإن وقت التصحيح السريع لـ Google ، وحقيقة أن معظم المستخدمين سيتلقون التحديث بسرعة وبشكل تلقائي (أو على الأقل بشكل شبه تلقائي) ، يعني أن البقية منا لا يمكنهم الآن اللحاق بالمحتالين فحسب ، بل العودة أيضًا أمامهم.
ماذا ستفعلين.. إذًا؟
على الرغم من أن Chrome من المحتمل أن يقوم بتحديث نفسه ، فإننا نوصي دائمًا بالتحقق على أي حال.
كما ذكرنا أعلاه ، أنت تبحث عن ملفات 107.0.5304.87 (Mac و Linux) ، أو أحد ملفات 107.0.5304.87 و 107.0.5304.88 (ويندوز).
استعمل المزيد > المساعدة > حول Google Chrome > تحديث جوجل كروم.
نكهة Chromium مفتوحة المصدر للمتصفح ، على الأقل على Linux ، هي أيضًا في الإصدار الحالي 107.0.5304.87.
(إذا كنت تستخدم Chromium على Linux أو أحد BSDs ، فقد تحتاج إلى التحقق مرة أخرى مع صانع التوزيعة للحصول على أحدث إصدار.)
لسنا متأكدين مما إذا كان إصدار Android من Chrome قد تأثر ، وإذا كان الأمر كذلك ، فما رقم الإصدار الذي يجب البحث عنه.
يمكنك مشاهدة أي إعلانات تحديثات قادمة لنظام Android على Google إصدارات الكروم بلوق.
نحن نفترض أن المتصفحات المستندة إلى Chrome على iOS و iPadOS لا تتأثر ، لأن جميع متصفحات Apple App Store مضطرة لاستخدام نظام التصفح الفرعي WebKit من Apple ، والذي لا يستخدم محرك Google V8 JavaScript.
من المثير للاهتمام أنه في وقت كتابة هذا التقرير [2022-10-29T14: 00: 00Z] ، وصفت ملاحظات إصدار Microsoft لـ Edge تحديثًا بتاريخ 2022-10-27 (بعد يومين من الإبلاغ عن هذا الخطأ من قبل الباحثين) ، ولكن لم يحدث ذلك سرد CVE-2022-3723 كأحد إصلاحات الأمان في ذلك الإصدار ، والذي تم ترقيمه 107.0.1418.24.
لذلك نفترض أن البحث عن أي إصدار من Edge أكبر من هذا سيشير إلى أن Microsoft قد نشرت تحديثًا ضد هذا الثقب.
يمكنك إبقاء عينك على تصحيحات Edge عبر Microsoft تحديثات أمان الحافة .
- 0 يوم
- سلسلة كتلة
- الكروم
- الكروم
- عملة عبقرية
- محافظ cryptocurrency
- cryptoexchange
- CVE-2022-3723
- الأمن الإلكتروني
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- حافة
- استغلال
- جدار الحماية
- شراء مراجعات جوجل
- جوجل كروم
- Kaspersky
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- VPN
- الضعف
- أمن الانترنت
- زفيرنت
- يوم الصفر
