زمان به روز رسانی: آخرین مرورگر گوگل کروم 27 نقص امنیتی را برطرف می کند

“U2F هرگز به یک استاندارد وب باز تبدیل نشد و توسط Web Authentication API (راه‌اندازی شده در Chrome 67) قرار گرفت. Chrome هرگز مستقیماً از FIDO U2F JavaScript API پشتیبانی نکرد، بلکه یک برنامه افزودنی کامپوننت به نام cryptotoken را ارسال کرد… U2F و Cryptotoken کاملاً در آن هستند حالت تعمیر و نگهداری و سایت‌ها را تشویق کرده‌اند که در دو سال گذشته به API احراز هویت وب مهاجرت کنند. گوگل در یک وبلاگ اخیر توضیح داد.

هیچ یک از عیوب به عنوان مورد بهره برداری فعال فهرست نشده است، اما یادداشت های انتشار برای کروم 104 حاوی چند راه حل قابل توجه، هرچند به ندرت شرح داده شده، برای نقص های با شدت بالا که بر Chrome Omnibox (نوار آدرس)، محافظت آنلاین اختیاری Google Safe Browsing، سپیده دم پیاده سازی WebGPU در کروم و ویژگی اشتراک گذاری Nearby مانند Apple AirDrop Google برای اشتراک گذاری فایل ها بین دستگاه های Chromebook و Android.

گوگل به محقق ناشناس 15000 دلار برای حافظه مربوط به Omnibox اهدا کرد.بعد از رایگان استفاده کنیدموضوع به عنوان CVE-2022-2603 ردیابی شد.

گوگل نسخه 104 کروم را برای ویندوز، مک و لینوکس با رفع 27 باگ امنیتی گزارش شده توسط اشخاص ثالث منتشر کرده است.

ببینید: امنیت سایبری دقیقاً چیست؟ و آن چرا اهمیت دارد؟

مرور ایمن توسط Chrome و سایر مرورگرهای اصلی استفاده می‌شود تا قبل از بازدید از یک وب‌سایت خطرناک یا دانلود یک برنامه مخرب، هشداری را به کاربران نشان دهد.

یک تغییر مهم مرتبط با امنیت در کروم 104 است حذف U2F API، API کلید امنیتی اصلی برای Chrome که با جدیدتر جایگزین شده است API احراز هویت وب (WebAuthn).. WebAuthn در سال 2019 به یک استاندارد رسمی W3C تبدیل شد و تا آن زمان در تمام مرورگرهای اصلی و همچنین ویندوز و اندروید پیاده سازی شده بود.

مرور ایمن در Chrome نیز تحت تأثیر استفاده با شدت بالا پس از رایگان (CVE-2022-2604) و یک مشکل با شدت متوسط ​​ناشی از تأیید ناکافی ورودی نامعتبر (CVE-2022-2622) قرار گرفت.

ببینید: اینها بزرگترین تهدیدات امنیت سایبری هستند. مطمئن شوید که آنها را نادیده نمی گیرید

جزئیات مربوط به اشکالات ناچیز است زیرا گوگل دسترسی به جزئیات باگ را در یادداشت های انتشار خود محدود می کند “تا زمانی که اکثر کاربران با یک اصلاح به روز شوند.” همچنین ممکن است دسترسی را محدود کند اگر اشکال در یک کتابخانه شخص ثالث وجود داشته باشد که پروژه های دیگر به آن وابسته هستند، اما هنوز رفع نشده اند.

این مشکل با شدت بالا توسط Nan Wang و Guang Gong از 360 Alpha Lab در Qihoo 360 در تاریخ 10 ژوئن گزارش شد. این جفت همچنین یک استفاده با شدت بالا را پس از رایگان در API دستگاه های مدیریت شده Chrome (CVE-2022-2606) و یک رسانه گزارش کردند. استفاده شدید پس از رایگان در WebUI Chrome (CVE-2022-2620).

نقص در ویژگی Nearby Share کروم نیز پس از نقص رایگان استفاده می شود (CVE-2022-2609).

کلیدهای امنیتی دو مرحله ای احراز هویت USB U2F توسط WebAuthn پشتیبانی می شوند، بنابراین تحت تأثیر این تغییر قرار نمی گیرند، اما وب سایت ها باید به WebAuthn API مهاجرت کنند. این تغییر نباید برای توسعه دهندگان وب تعجب آور باشد زیرا گوگل در دو سال گذشته در مورد این تغییر هشدار داده است.

shutterstock-1024665187.jpg

تصویر: Shutterstock / GaudiLab

همچنین یک مشکل نشت اطلاعات کانال جانبی با شدت متوسط ​​وجود دارد که بر ورودی صفحه‌کلید کروم تأثیر می‌گذارد که توسط اریک کرافت و مارتین شوارتزل از دانشگاه فناوری Graz TU، اتریش کشف شد. محققان از گراتس TU مرکزی بود به کشف حملات کانال جانبی CPU Meltdown و Spectre در سال 2018.

گوگل کروم 104 پایدار را با رفع 7 نقص “بالا” و 15 “متوسط” منتشر کرده است.

گوگل همچنین کروم 104 را به نسخه جدید خود ارتقا داده است پایدار گسترش یافته است کانال برای ویندوز و مک.


منبع: https://www.zdnet.com/article/time-to-update-latest-google-chrome-browser-fixes-27-security-flaws/#ftag=RSSbaffb68