قناة Google Chrome Dev
يشرح الخبراء ثغرة أمنية جديدة في RCE في قناة Google Chrome Dev .
ظهرت تفاصيل بشأن ثغرة أمنية خطيرة تم إصلاحها مؤخرًا لتنفيذ التعليمات البرمجية عن بُعد في Google Chrome ومحركات V8 JavaScript و WebAssembly
تتعلق المشكلة بمثيل “use-after-free” في مكون تحسين التعليمات ، والذي إذا تم استغلاله بنجاح.
قد “يُمكِّن المهاجم من تنفيذ تعليمات برمجية عشوائية في سياق المتصفح”.
تم الإبلاغ عن الخطأ ، الذي تم اكتشافه في قناة Dev على Chrome 101 ، إلى Google بواسطة Weibo Wang .
وهو باحث أمني في شركة الأمن السيبراني السنغافورية Numen Cyber Technology .
بينما. منذ ذلك الحين تم تصحيحه بشكل سري من قبل الشركة.
وأوضح وانغ: “تظهر هذه الثغرة الأمنية في خطوة اختيار التعليمات. حيث يتم اختيار التعليمات غير الصحيحة ، مما يؤدي إلى استثناء الوصول إلى الذاكرة”.
عند الوصول إلى الذاكرة التي تم تحريرها مسبقًا. يتسبب ذلك في سلوك غير مؤكد ويمكن أن يتسبب في تعطل البرنامج أو استخدام البيانات التالفة أو حتى تنفيذ تعليمات برمجية عشوائية.
ومما يثير القلق. أنه قد يتم استغلال المشكلة عن بُعد عبر موقع ويب مصمم بشكل صحيح للتحايل على قيود الأمان وتشغيل تعليمات برمجية عشوائية لخرق أجهزة الكمبيوتر المستهدفة.
وأضاف وانغ: “قد يتم استغلال هذه الثغرة الأمنية بشكل أكبر باستخدام تقنيات رش الكومة .
مما يؤدي إلى مشكلة” تشويش النوع “. “بينما تسمح الثغرة الأمنية للمهاجم بمعالجة مؤشرات الوظائف أو وضع تعليمات برمجية في مناطق ذاكرة عشوائية. مما قد يؤدي إلى تنفيذ التعليمات البرمجية.”
كذلك. للسماح لأكبر عدد ممكن من الأشخاص بتثبيت الإصدار المصحح أولاً ، لم تكشف الشركة بعد عن الثغرة الأمنية عبر الويب Chromium bug tracker. لا تمنح Google أيضًا معرفات CVE لنقاط الضعف المكتشفة في قنوات Chrome غير المستقرة.
يجب على مستخدمي Chrome. وخاصة المطورين الذين يستخدمون إصدار Chrome من Chrome للاختبار للتأكد من أن تطبيقاتهم متوافقة مع أحدث ميزات Chrome وتعديلات واجهة برمجة التطبيقات. التحديث إلى أحدث إصدار من البرنامج.
قناة Google Chrome Dev
تعليمات تجميع قناة Google Chrome Dev بمجرد إصلاح الثغرة الأمنية
ليست هذه هي المرة الأولى التي يتم فيها اكتشاف أن Chrome يحتوي على ثغرات أمنية خالية من الاستخدام.
قامت Google بتصحيح سبع مشكلات من هذا القبيل في متصفح الويب تم استغلالها في هجمات في العالم الحقيقي في عام 2021. هذا العام. قامت أيضًا بتعيين ثغرة أمنية تم استغلالها بشكل نشط في مكون الرسوم المتحركة.
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره. يشرح الخبراء ثغرة أمنية جديدة في RCE في قناة Google Chrome Dev