به گزارش گرداب، کارشناسان امنیتی مایکروسافت پس از بررسیهای خود در مورد نرمافزار کروم آسیبپذیری را در این محصول شناسایی کردهاند که از راه دور قابلیت کنترل دارد. این در حالی است که کارشناسان پس از رفع آسیبپذیری نامبرده، شناسه CVE-2017-5121 را به این آسیبپذیری اختصاص دادهاند.
پس از بررسی کدهای JavaScript نرمافزار Chrome V8 مشخص شد، نشت اطلاعات از طریق این نرمافزار صورت گرفته است؛ اما بررسیهای نهایی نشاندهنده این است که اجرای کدهای دلخواه در فرایند رندر Chrome مورداستفاده قرارگرفتهاند.
همانطور که میدانید مرورگر گوگل کروم با استفاده از یک سد چگالی برای محدود کردن محیط اجرای برنامههای وب استفاده میکند و این بدین معنی است که نرمافزار برای در امان ماندن از سند باکسها و قرار گرفتن در دسترس ماشین نیازمند این است که از محدودکنندهها استفاده کند.
مایکروسافت بدون دانستن آسیبپذیری دوم اقدام به بررسی کرد و متوجه شد که اجرای کد دلخواه در یک فرایند رندر، به مهاجم اجازه دهد که از یک سیاست منحصربهفرد (SOP) دور بماند، این مکانیسم نشان میدهد که میتواند مانع اجرای اسکریپتهای مخرب در یک صفحه و دسترسی به اطلاعات حساس موجود در صفحات دیگر شود.
در این میان مهاجم با استفاده از رمزهای ذخیرهشده و اجرای اسکریپتهای مخرب در XSS باعث ایجاد اختلال در این سیستمها خواهد شد.
کارشناسان مایکروسافت به کاربران توصیه میکنند پس از انتشار نسخه رفع آسیبپذیری گوگل کروم خود را به آخرین نسخه بهروزرسانی کنند.
