چرا باید Google Chrome, Microsoft Edge, Opera, Yandex Browser, Vivaldi, Brave و سایر مرورگرهای مبتنی بر کرومیوم1 را به آخرین ورژن آپدیت کنید؟
یک روز دیگر، آسیب پذیری در مرورگر دیگری کشف شد! در واقع، تعداد حفره های امنیتی خطرناک در عرض یک هفته دو برابر شده است! اخیرا مقاله ای مبنی بر آپدیت iOS و macOS را به دلیل یک اشکال بزرگ در Apple WebKit (موتور داخل Safari و سایر مرورگرها در iOS) منتشر کردیم. و اکنون، به دلیل تهدیدی مشابه از نظر قابلیت بهره برداری، باید مرورگرهای دیگر را نیز به روز کنید. این بار کانون توجه گوگل کروم و مرورگرهای مرتبط است.
آسیب پذیری در موتور V8آسیب پذیری CVE-2023-2033 در موتور V8 پیدا شده است. این موتور برای پردازش جاوا اسکریپت استفاده می شود. این آسیب پذیری توسط محققی در گروه تحلیل تهدیدات گوگل (TAG) که در کشف آسیب پذیری های iOS و macOS دست داشت، پیدا شده است.
از آنجایی که خط مشی استاندارد گوگل این است که جزئیات مربوط به آسیب پذیری را تا زمانی که بیشتر کاربران مرورگرهای خود را آپدیت نکرده اند منتشر نکند، هنوز هیچ جزئیات خاصی در مورد این حفره امنیتی وجود ندارد.
برای بهره برداری موفقیت آمیز، مهاجمان باید قربانیان را به یک صفحه وب مخرب ساخته شده جذب کنند. در این صورت آن ها می توانند کد دلخواه را بر روی کامپیوتر مورد نظر اجرا کنند. مانند آسیب پذیری قبلی در Safari WebKit، این حفره حملات صفر کلیک (Zero-click Attacks)2 را آسان می کند. به عبارت دیگر، مجرمان سایبری می توانند دستگاهی را بدون هیچ اقدام فعالی از سوی کاربر آلوده کنند. وادار کردن قربانی به بازدید از یک سایت خطرناک برای مهاجمان کافی است.
این آسیب پذیری حداقل در نسخه های دسکتاپ همه مرورگرهای مبتنی کرومیوم وجود دارد. یعنی نه تنها خود Google Chrome بلکه Microsoft Edge, Opera, Yandex Browser, Vivaldi و بسیاری دیگر. احتمالا در برنامه های مبتنی بر الکترون (Electron)3 نیز تاثیر می گذارد. چنین برنامه هایی اساسا صفحات وب هستند که در مرورگر کرومیوم ساخته شده در برنامه باز می شوند.
چگونه از خود محافظت کنید؟برای خنثی کردن تهدید CVE-2023-2033 در کامپیوتر خود، فورا همه مرورگرهای مبتنی بر کرومیوم را که روی آن نصب شده اند آپدیت کنید.
- Google Chrome را به نسخه 112.0.5615.121 آپدیت کنید. ✓ روی سه نقطه در گوشه سمت راست بالای صفحه کلیک کنید.
- آسیب پذیری را در سایر برنامه های مبتنی بر کرومیوم اصلاح کنید، همچنین: می توانید یک پچ برای آپدیت Microsoft Edge به نسخه 112.0.1722.48 در اینجا پیدا کنید، وب سایت های Vivaldi و Brave قبلا پچ هایی برای این مرورگرها دارند.
- همه برنامه های مبتنی بر الکترون را نیز آپدیت کنید (پچ های مربوط به آنها احتمالا مدتی بعد ظاهر می شوند).
✓ وقتی لیست کشویی را مشاهده کردید، روی Settings کلیک کنید.
✓ به بخش About Chrome بروید.
آپدیت های گوگل کروم را کجا پیدا کنیم: سه نقطه ← تنظیمات ← درباره کروم
✓ اگر پیغام Chrome is up to date را می بینید، همه چیز خوب است و لازم نیست کار دیگری انجام دهید.
✓ اگر آپدیت موجود باشد، Chrome فورا دانلود و نصب آن را آغاز می کند.
پس از باز کردن صفحه درباره کروم، مرورگر به طور خودکار آخرین آپدیت را دانلود و نصب می کند.
✓ هنگامی که آپدیت دانلود شد، پیام: «Nearly up to date! Relaunch Google Chrome to finish updating» و یک دکمه Relaunch مشاهده می کنید.
✓ سپس باید مرورگر را دوباره راه اندازی کنید. در غیر این صورت، آپدیت اعمال نخواهد شد. روی دکمه Relaunch کلیک کنید.
✓ هنگام راه اندازی مجدد مرورگر نگران از دست دادن هیچ چیز مهمی نباشید: پس از آپدیت، Chrome تمام پنجره ها و برگه هایی را که باز بودند، به جز مواردی که در حالت ناشناس (Incognito) هستند، بازیابی می کند.
مطمئن شوید که مرورگر خود را پس از نصب آپدیت مجددا راه اندازی کرده اید، در غیر این صورت بهروزرسانی اعمال نخواهد شد.
و البته از تمام دستگاه های خود با نصب یک آنتی ویروس اورجینال و قابل اطمینان در برابر آسیب پذیری های جدیدی که هنوز رفع نشده اند محافظت کنید. شما می توانید برای خرید آنتی ویروس های ایست (نود 32) به فروشگاه آنلاین نود32 و برای خرید آنتی ویروس های کسپرسکی به فروشگاه آنلاین کسپرسکی مراجعه نمایید. برای انتخاب آنتی ویروس مناسب کامپیوتر و یا گوشی هوشمند خود می توانید از کارشناسان شرکت ایده ارتباط تراشه مشاوره بگیرید.
1- مرورگر مبتنی بر کرومیوم (Chromium-based browsers) مرورگری است که بر اساس پروژه کرومیوم می باشد. کرومیوم پروژه منبع باز گوگل است که کد موتور وب ارائه می دهد و مرورگر کروم خود را تقویت می کند.
2- حملات صفر کلیک، حملات سایبری هستند که امکان دسترسی به یک دستگاه را بدون انجام هیچ اقدامی توسط کاربر فراهم می کنند. حمله به محض ورود کد به دستگاه کاربر به طور خودکار و معمولا به صورت نامرئی اجرا می شود.
3- Electron که با نام ElectronJS نیز شناخته می شود یک فریم ورک منبع باز است که به توسعه دهندگان اجازه می دهد از فناوری های وب برای ساخت برنامه های دسکتاپ استفاده کنند.