زمان به روز رسانی: آخرین مرورگر گوگل کروم 27 نقص امنیتی را برطرف می کند

یک تغییر مهم مرتبط با امنیت در کروم 104 است حذف U2F API، API کلید امنیتی اصلی برای Chrome که با جدیدتر جایگزین شده است API احراز هویت وب (WebAuthn).. WebAuthn در سال 2019 به یک استاندارد رسمی W3C تبدیل شد و تا آن زمان در تمام مرورگرهای اصلی و همچنین ویندوز و اندروید پیاده سازی شده بود.

کلیدهای امنیتی دو مرحله ای احراز هویت USB U2F توسط WebAuthn پشتیبانی می شوند، بنابراین تحت تأثیر این تغییر قرار نمی گیرند، اما وب سایت ها باید به WebAuthn API مهاجرت کنند. این تغییر نباید برای توسعه دهندگان وب تعجب آور باشد زیرا گوگل در دو سال گذشته در مورد این تغییر هشدار داده است.

shutterstock-1024665187.jpg

تصویر: Shutterstock / GaudiLab

جزئیات مربوط به اشکالات ناچیز است زیرا گوگل دسترسی به جزئیات باگ را در یادداشت های انتشار خود محدود می کند “تا زمانی که اکثر کاربران با یک اصلاح به روز شوند.” همچنین ممکن است دسترسی را محدود کند اگر اشکال در یک کتابخانه شخص ثالث وجود داشته باشد که پروژه های دیگر به آن وابسته هستند، اما هنوز رفع نشده اند.

گوگل به محقق ناشناس 15000 دلار برای حافظه مربوط به Omnibox اهدا کرد.بعد از رایگان استفاده کنیدموضوع به عنوان CVE-2022-2603 ردیابی شد.

گوگل نسخه 104 کروم را برای ویندوز، مک و لینوکس با رفع 27 باگ امنیتی گزارش شده توسط اشخاص ثالث منتشر کرده است.

مرور ایمن در Chrome نیز تحت تأثیر استفاده با شدت بالا پس از رایگان (CVE-2022-2604) و یک مشکل با شدت متوسط ​​ناشی از تأیید ناکافی ورودی نامعتبر (CVE-2022-2622) قرار گرفت.

نقص در ویژگی Nearby Share کروم نیز پس از نقص رایگان استفاده می شود (CVE-2022-2609).

“U2F هرگز به یک استاندارد وب باز تبدیل نشد و توسط Web Authentication API (راه‌اندازی شده در Chrome 67) قرار گرفت. Chrome هرگز مستقیماً از FIDO U2F JavaScript API پشتیبانی نکرد، بلکه یک برنامه افزودنی کامپوننت به نام cryptotoken را ارسال کرد… U2F و Cryptotoken کاملاً در آن هستند حالت تعمیر و نگهداری و سایت‌ها را تشویق کرده‌اند که در دو سال گذشته به API احراز هویت وب مهاجرت کنند. گوگل در یک وبلاگ اخیر توضیح داد.

مرور ایمن توسط Chrome و سایر مرورگرهای اصلی استفاده می‌شود تا قبل از بازدید از یک وب‌سایت خطرناک یا دانلود یک برنامه مخرب، هشداری را به کاربران نشان دهد.

گوگل کروم 104 پایدار را با رفع 7 نقص “بالا” و 15 “متوسط” منتشر کرده است.

ببینید: اینها بزرگترین تهدیدات امنیت سایبری هستند. مطمئن شوید که آنها را نادیده نمی گیرید

هیچ یک از عیوب به عنوان مورد بهره برداری فعال فهرست نشده است، اما یادداشت های انتشار برای کروم 104 حاوی چند راه حل قابل توجه، هرچند به ندرت شرح داده شده، برای نقص های با شدت بالا که بر Chrome Omnibox (نوار آدرس)، محافظت آنلاین اختیاری Google Safe Browsing، سپیده دم پیاده سازی WebGPU در کروم و ویژگی اشتراک گذاری Nearby مانند Apple AirDrop Google برای اشتراک گذاری فایل ها بین دستگاه های Chromebook و Android.

ببینید: امنیت سایبری دقیقاً چیست؟ و آن چرا اهمیت دارد؟

گوگل همچنین کروم 104 را به نسخه جدید خود ارتقا داده است پایدار گسترش یافته است کانال برای ویندوز و مک.


منبع: https://www.zdnet.com/article/time-to-update-latest-google-chrome-browser-fixes-27-security-flaws/#ftag=RSSbaffb68

این مشکل با شدت بالا توسط Nan Wang و Guang Gong از 360 Alpha Lab در Qihoo 360 در تاریخ 10 ژوئن گزارش شد. این جفت همچنین یک استفاده با شدت بالا را پس از رایگان در API دستگاه های مدیریت شده Chrome (CVE-2022-2606) و یک رسانه گزارش کردند. استفاده شدید پس از رایگان در WebUI Chrome (CVE-2022-2620).

همچنین یک مشکل نشت اطلاعات کانال جانبی با شدت متوسط ​​وجود دارد که بر ورودی صفحه‌کلید کروم تأثیر می‌گذارد که توسط اریک کرافت و مارتین شوارتزل از دانشگاه فناوری Graz TU، اتریش کشف شد. محققان از گراتس TU مرکزی بود به کشف حملات کانال جانبی CPU Meltdown و Spectre در سال 2018.