شرکت گوگل، مرورگر کروم را برای رفع نقص شدیدی که میتواند هکرها را قادر به انجام حملات اجرای کد از راه دور (RCE) کند، بهروزرسانی کرد.
این نقص، با شناسه CVE 2019 5869، در روز دوشنبه توسط دو محقق امنیتی کشف شد. آنها این باگ را از طریق روند افشای آسیبپذیری گوگل گزارش دادند و برای این کار 5 هزار و 500 دلار جایزه دریافت کردند.
به گفته گوگل، این نقص اشکال آزادسازی پس از استفاده (use-after-free) در موتور مرورگر Blink وجود دارد و ریسک قابل توجهی را برای اشخاص بزرگ و متوسط دولت و تجارت ایجاد میکند.
Blink تحت پروژه گوگل کروم توسعه پیدا کرد و در سال 2013 معرفی شد.
محققانی که آسیبپذیری Blink را کشف کردهاند طی هشداری اعلام کردند که آسیبپذیری مهاجمان را قادر میسازد که محدودیتهای امنیتی را دور بزنند، کد دلخواه را روی سیستم اجرا کنند، حملات DoS را انجام دهند و اطلاعات حساس کاربر را سرقت کنند.
همه نسخههای گوگل کرومی که قبل از 76.0.3809.132 منتشر شدهاند، تحت تأثیر نقص امنیتی قرار دارند.
بسته به امتیازات مرتبط با برنامه، یک مهاجم میتواند برنامههایی را نصب کند، آنها را مشاهده کرده و تغییر دهد یا دادهها را حذف کند، همچنین قادر است حسابهایی جدید با دسترسی کامل ایجاد کند
علاوه بر این، استفاده کاربر از یک صفحه وب مخربی که به صورت اختصاصی برای هک کاربران طراحی شده، سوءاستفاده مهاجمین از این اشکال نرمافزاری را آسان میکند
طبق گفته گوگل، بهروزرسانی کروم 76.0.3809.132 در کل، سه باگ امنیتی را برطرف کرده است، اگرچه این شرکت جزئیات دیگری در مورد دو اشکال نرمافزاری دیگر فاش نکرده است.