گوگل اعلام کرد که یک آسیب‌پذیری بحرانی روز صفر(zero-day) در مرورگر کروم احتمالا می‌تواند کاربران را درگیر سوء استفاده‌های جدی کند.

گوگل کروم

به گزارش همشهری آنلاین، مانند آسیب‌پذیری بحرانی zero-day که گوگل در تاریخ ۱۱ سپتامبر اعلام کرد، آسیب‌پذیری جدیدی که مورد سوءاستفاده قرار گرفته است تنها بر روی کروم تأثیر نمی‌گذارد.

پیش‌تر موزیلا اعلام کرده است که مرورگر فایرفاکس نسبت به همان باگ آسیب‌پذیر است و کد CVE-2023-5217 به آن اختصاص داده شده است و مانند CVE-2023-4863 که ۱۷ روز پیش اعلام شد، آسیب‌پذیری جدید در کتابخانه‌ای که در پردازش فایل‌های رسانه‌ای، به خصوص فایل‌های با فرمت VP8 استفاده می‌شود، قرار دارد.

به نقل از تکناک، مشخص نیست چند بسته نرم‌افزاری که وابسته به libvpx هستند، در معرض آسیب‌پذیری CVE-2023-5217 قرار خواهند گرفت. گوگل اعلام می‌کند که zero-day برای رمزگذاری ویدئو اعمال می‌شود. در مقابل، zero-day  مورد سوءاستفاده در libwebp، کتابخانه‌ای که در ماه قبل نسبت به حملات آسیب‌پذیر بود، برای رمزگذاری و رمزگشایی کار می‌کرد.

به عبارت دیگر، بر اساس جمله‌بندی در اعلامیه، CVE-2023-5217 نیاز به یک دستگاه هدف برای ایجاد رسانه با فرمت VP8 دارد. CVE-2023-4863 ممکن است در هنگامی که یک دستگاه هدف به سادگی تصویری که دارای تله‌گذاری است را نمایش می‌دهد، سوءاستفاده شود.

طبق گفته ویل دورمن، تحلیلگر اصلی ارشد در Analygence ، وابستگی یک بسته به libvpx به هیچ وجه به معنای آسیب‌پذیر بودن آن نیست.

او گفت: «آسیب‌پذیری در رمزگذاری VP8 وجود دارد، بنابراین اگر چیزی فقط برای رمزگشایی از libvpx استفاده کند، نگرانی ندارد.»

با این تفاوت مهم، احتمالاً بسیاری از بسته‌ها علاوه بر کروم و فایرفاکس نیاز به پچ کردن خواهند داشت.

او اظهار داشت: «مرورگرهای فایرفاکس، کروم به همراه سایر ابزارهایی که قابلیت رمزگذاری VP8 را از libvpx به جاوااسکریپت (به عبارت دیگر مرورگرهای وب) ارائه می‌دهند، به نظر می‌رسد در معرض خطر قرار دارند.»

بیشتر بخوانید:

در حال حاضر اطلاعات محدودی درباره حملات در حال انجام که از zero-day جدید سوءاستفاده می‌کنند، در دسترس است. پست گوگل فقط اعلام کرد که کدی که از این آسیب استفاده می‌کند، «در محیط واقعی وجود دارد.»

کد خبر 793376

برچسب‌ها

دیدگاه خوانندگان امروز

پر بیننده‌ترین خبر امروز

نظر شما

شما در حال پاسخ به نظر «» هستید.
captcha