- إصدارات جوجل مستشار أمان Chrome، والذي يتضمن تصحيحًا ليوم الصفر لمحرك جافا سكريبت في Chrome.
- حصل CVE-2021-30551 على تصنيف عالٍ ، مع وجود خطأ واحد فقط ليس في البرية ، يتم استغلاله من قبل أطراف ثالثة ضارة.
- وفقًا لـ Google ، قد يتم تقييد الوصول إلى تفاصيل الأخطاء والروابط حتى يتم تحديث غالبية المستخدمين بإصلاح.
- ال تم إدراج خطأ CVE-2021-30551 بواسطة Google كنوع من الارتباك في V8 ، مما يعني أنه يمكن تجاوز أمان JavaScript لتشغيل رمز غير مصرح به.
لا يزال المستخدمون يسكنون في الحديث عن Microsoft السابق إعلان يوم الثلاثاء التصحيح، والذي كان سيئًا جدًا في رأيهم ، حيث تم تصحيح ستة نقاط ضعف في البرية.
ناهيك عن الشخص المدفون في أعماق بقايا شفرة عرض الويب MSHTML الخاصة بـ Internet Explorer.
14 إصلاحًا أمنيًا في تحديث واحد
الآن ، جوجل تطلق مستشار أمان Chrome، والذي قد ترغب في معرفته يتضمن تصحيحًا ليوم الصفر (CVE-2021-30551) لمحرك جافا سكريبت في Chrome ، من بين إصلاحات الأمان الـ 14 الأخرى المدرجة رسميًا.
بالنسبة لأولئك الذين ما زالوا غير مطلعين على المصطلح ، صفر يوم هو وقت خيالي ، حيث يحدث هذا النوع من الهجمات الإلكترونية في أقل من يوم واحد منذ الوعي بالثغرة الأمنية.
لذلك ، فإنه لا يمنح المطورين الوقت الكافي تقريبًا للقضاء أو التخفيف من المخاطر المحتملة المرتبطة بهذه الثغرة الأمنية.
على غرار Mozilla ، تجمع Google أيضًا بين الأخطاء المحتملة الأخرى التي وجدتها باستخدام طرق صيد الأخطاء العامة ، المدرجة على أنها إصلاحات مختلفة من عمليات التدقيق الداخلي والتشويش ومبادرات أخرى.
يمكن أن تنتج Fuzzers ، إن لم يكن الملايين ، مئات الملايين من مدخلات الاختبار على مدى فترة الاختبار.
ومع ذلك ، فإن المعلومات الوحيدة التي يحتاجون إلى تخزينها هي في الحالات التي تتسبب في سوء تصرف البرنامج أو تعطله.
هذا يعني أنه يمكن استخدامها لاحقًا في العملية ، كنقاط انطلاق لصيادي الحشرات البشرية ، والتي ستوفر أيضًا الكثير من الوقت والقوى البشرية.
يتم استغلال الحشرات في البرية
يبدأ Google بالإشارة إلى خطأ اليوم الصفري ، مشيرًا إلى أنهم] على دراية بوجود استغلال ل CVE-2021-30551 في البرية.
يتم سرد هذا الخطأ على وجه الخصوص اكتب الارتباك في V8، حيث يمثل V8 الجزء من Chrome الذي يقوم بتشغيل شفرة JavaScript.
يعني الارتباك في الكتابة أنه يمكنك تزويد V8 بعنصر بيانات واحد ، مع خداع JavaScript للتعامل معه كما لو كان شيئًا مختلفًا تمامًا ، يحتمل تجاوز الأمان أو حتى تشغيل رمز غير مصرح به.
كما قد يعلم معظمكم ، فإن الخروقات الأمنية لجافا سكريبت التي يمكن تشغيلها بواسطة كود جافا سكريبت المضمن في صفحة الويب ، تؤدي في أغلب الأحيان إلى استغلال RCE ، أو حتى تنفيذ التعليمات البرمجية عن بُعد.
مع كل ما قيل ، لا توضح Google ما إذا كان الخطأ CVE-2021-30551 يمكن استخدامه لتنفيذ التعليمات البرمجية عن بُعد ، مما يعني عادةً أن المستخدمين عرضة للهجمات الإلكترونية.
فقط للحصول على فكرة عن مدى خطورة ذلك ، تخيل تصفح أحد مواقع الويب ، دون النقر فعليًا على أي منها النوافذ المنبثقة ، قد تسمح للأطراف الثالثة الخبيثة بتشغيل التعليمات البرمجية بشكل غير مرئي ، وزرع البرامج الضارة على جهاز الكمبيوتر الخاص بك.
وبالتالي ، لا تحصل CVE-2021-30551 إلا على تصنيف عالٍ ، مع وجود خطأ ليس في البرية (CVE-2021-30544) ، مصنفة على أنها حرجة.
يمكن أن يكون الخطأ CVE-2021-30544 قد نُسب إليه الإشارة النقدية لأنه يمكن استغلاله من أجل RCE.
ومع ذلك ، ليس هناك ما يشير إلى أن أي شخص آخر غير Google ، وكذلك الباحثين الذين أبلغوا عن ذلك ، يعرفون كيفية القيام بذلك ، في الوقت الحالي.
تذكر الشركة أيضًا أن الوصول إلى تفاصيل الأخطاء والروابط قد يظل مقيدًا حتى يتم تحديث غالبية المستخدمين بإصلاح
ما هو رأيك في أحدث إصدار تصحيح من Zero Day من Google؟ شاركنا بأفكارك في قسم التعليقات أدناه.
