مرورگرهای گوگل کروم و مایکروسافت اج خود را هر چه سریع تر به روز کنید!

این هفته، یک آسیب‌پذیری امنیتی در کدک WebP مشاهده شد که خطراتی را برای برنامه‌ها و سیستم‌عامل‌های مختلف به همراه داشته است. به‌طور کلی، مرورگرهای وب به دلیل گستردگی استفاده از تصاویر WebP در شبکه جهانی اینترنت، باید از حیث مقاومت در برابر آسیب پذیری‌های رایج به صورت ویژه‌ای تحت بررسی قرار گیرند. در این مطلب به بررسی اهمیت به‌روز‌رسانی سریع‌تر مرورگرهای گوگل کروم و مایکروسافت اج خواهیم پرداخت.

به طور کلی جهت اطمینان حاصل کردن از عدم به خطر افتادن امنیت و بروز اشکالات امنیتی، توصیه می‌شود وصله امنیتی سایر برنامه‌های کاربردی پشتیبان‌کننده از WebP (مانند لیبره آفیس و تلگرام) در اسرع وقت انجام شود. کمی پیش‌تر، موزیلا اصلاحات اضطراری را برای دو مرورگر “فایرفاکس” و “تاندربرد” منتشر کرد. اکنون نیز کمپانی گوگل از به‌روز‌رسانی مرورگر “گوگل کروم” و سایر مرورگر‌های مبتنی بر کرومیوم (مانند مایکروسافت اج) به منظور مقاومت و رفع این آسیب‌پذیری خبر داده است.

همان‌طور که گفته شد، اخیراً، گوگل کروم وصله‌ای را به منظور رفع این آسیب‌پذیری امنیتی در کانال‌های پایدار (Stable) و بسیار پایدار (Extended stable) خود منتشر کرده است. این وصله (پچ) در نسخه 116.0.5845.187 برای مرورگر‌های نصب شده روی سیستم‌عامل مک و لینوکس و در نسخه 116.0.5845.187/.188 برای سیستم‌عامل ویندوز گنجانده شده است. اگر به صورت دستی به قسمت به‌روزرسانی‌های مرورگر گوگل کروم مراجعه کنید، قادرید جهت نصب این وصله امنیتی اقدام نمایید. علاوه بر این، در صورت بهره‌مندی از به‌روزرسانی به‌صورت خودکار، در روزهای آتی این به‌روز‌رسانی دانلود می‌شود و در پیامی (Notification) از شما تقاضا می‌شود تا مرورگر خود را مجدداً راه‌اندازی کنید.

توجه به این نکته مهم است که بروز این نقص امنیتی بر مرورگر‌های مبتنی بر پروژه کرومیوم نیز تأثیر‌گذار خواهد بود. به همین دلیل، مایکروسافت نسخه 116.0.1938.81 مرورگر اج (Edge) را برای رفع این آسیب‌پذیری دردسر‌ساز، منتشر کرده است. علاوه بر این، مرورگر‌های ویوالدی (Vivaldi) و بریو بروزر (Brave Browser) نیز تلاشند تا هر چه سریع‌تر اصلاحات لازم را ارائه نمایند.

آسیب‌پذیری امنیتی (با برچسب/نام CVE-2023-4863) بر libwebp، یکی از رایج‌ترین راه‌های ارائه تصاویر WebP در برنامه‌های کامپیوتری، تاثیر منفی می‌گذارد. این آسیب‌پذیری به یک تصویر WebP مخرب اجازه می‌دهد تا ضمن ایجاد سرریز پشته/بافر، کنترل کامپیوتر شما را به صورت غیر‌مجاز به دست خود بگیرد. تیمی از کارشناسان گوگل، مواردی از این نقص امنیتی (که دائماً مورد سوء استفاده قرار می‌گیرند) را گزارش کرده‌اند. در این پیام، بر فوریت به‌روزرسانی هر چه سریع‌تر مرورگر‌های نصب شده روی سیستم‌های کاربران تأکیدی دو‌چندان شده است.

با این حال، تا‌کنون، جزئیاتی در رابطه با تأثیرگذاری این آسیب‌پذیری امنیتی بر مرورگر وب سافاری کمپانی اپل منتشر نشده است. بنا‌بر‌این، این امکان وجود دارد که مرورگر سافاری از روش متفاوتی برای رندر کردن تصاویر WebP استفاده کند و از این رو این احتمال وجود دارد که به صورت مستقیم تحت تاثیر این آسیب‌پذیری قرار نگیرد.

با این حال، اپل اخیراً به‌روزرسانی‌های مجزایی را برای “سیستم‌عامل iOS 15، سیستم‌عامل iOS 16، سیستم‌عامل ساعت‌های هوشمند watchOS 9، سیستم‌عامل Big Sur برای macOS 11، سیستم‌عامل Monterey 12 برای macOS و سیستم‌عامل Ventura برای macOS 13” منتشر کرده است تا به این واسطه، نقص امنیتی متفاوتی (مربوط به تصاویر) را برطرف سازد. این مشکل امنیتی خاص که با نام CVE-2023-41064 شناسایی و به ثبت رسیده است، با ایجاد یک خطا در سرریز بافر، قادر است بستر اجراء کد دلخواه در دستگاه‌های آسیب‌دیده را فراهم سازد.

شایان ذکر است که به منظور جلوگیری از گسترش اکسپلویت‌ها (نفوذ‌ها) جزئیات فنی بیشتری در رابطه با این نقص علنی نشده است. لازم به ذکر است که به دلیل تحت تاثیر‌قرار دادن سیستم در چارچوب ImageIO (مورد استفاده در نرم‌افزار اپل) این آسیب‌پذیری خاص تنها می‌تواند در دستگاه‌های الکترونیکی اپل (نظیر: مک‌بوک، آی‌پد، گوشی آیفون) بروز کند و این دستگاه‌ها را تحت تاثیر خود قرار دهد.

منبع: HowToGeek