تعمیرگاه ستفیکس

نقص امنیتی مرورگر كروم سپس ۳ سال رفع شد

نقص امنیتی مرورگر كروم سپس ۳ سال رفع شد

تعمیركار: گوگل سپس سه سال از آغازین گزارش نقص امنیتی مرورگر كروم، با انتشار وصله امنیتی، این نقص را برطرف كرد.


به گزارش تعمیركار به نقل از مركز ماهر، گوگل بتازگی یك نقص امنیتی در مرورگر «كروم» اندرویدی را وصله كرده است كه اطلاعات مربوط به مدل سخت افزاری گوشیهای هوشمند، نسخه سفت افزار و به صورت غیرمستقیم سطح وصله امنیتی دستگاه را افشا می سازد. این نقص آغازین بار سه سال پیش، در ماه می سال ۲۰۱۵ گزارش شده بود؛ اما تا سه سال نادیده گرفته شد. تا زمانی كه كاركنان Chrome متوجه شدند اطلاعاتی كه مرورگر كروم دستگاه های اندرویدی منتشر می سازد خطرناك می باشد. این نقص ابتدا توسط محققان امنیتی شركت امنیت سایبری Nightwatch كشف شد. آنها دریافتند كه رشته های User-Agent مرورگر كروم نسخه های اندرویدی دارای اطلاعات بیشتری نسبت به نسخه های دسكتاپی آن است. رشته های User-Agent مرورگر كروم اندرویدی علاوه بر جزئیات مرورگر كروم و اطلاعات مربوطه به نسخه سیستم عامل، دارای اطلاعات مربوط به نام دستگاه و شماره ساخت سفت افزار آن باز است. شماره ساخت سفت افزار نه تنها برای شناسایی دستگاه بلكه برای شناسایی سرویس گیرنده و كشور باز می تواند استفاده گردد. شماره ساخت به راحتی از وب سایت های سازنده و سرویس گیرنده تلفن همراه قابل دستیابی است. علاوه براین، با دانستن شماره ساخت، مهاجمان می توانند شماره دقیق سفت افزار را تعیین كنند و به صورت غیرمستقیم تعیین كنند دستگاه در حال اجرای چه سطحی از وصله امنیتی است و دستگاه، متأثر به چه لطمه پذیری هایی است. پس چنین اطلاعات حساسی هیچ گاه نباید در رشته User-Agent گنجانده شوند. مهندسان گوگل این نقص را با حذف شماره ساخت از رشته User-Agent مرورگر كروم اندرویدی برطرف ساختند و در اواسط ماه اكتبر سال ۲۰۱۸، با انتشار نسخه Chrome ۷۰، بی سروصدا به كاربران این مرورگر عرضه كردند. البته این رفع نقص هنوز كامل نیست. رشته های نام دستگاه هنوز وجود دارند. علاوه براین، هر دو رشته نام دستگاه و شماره ساخت هنوز در WebView و Custom Tabs وجود دارند. WebView و Custom Tabs اجزایی اندرویدی و نسخه های پایین تر موتور Chrome هستند كه برنامه های دیگر می توانند درون كد آنها تعبیه شوند، بدین سبب كاربران می توانند محتوای وب را با استفاده از یك مرورگر داخلی شبه كروم مشاهد كنند. Custom Tabs هم اكنون به ندرت استفاده میگردد اما WebView بسیار محبوب است. از آنجاییكه رفع نقص به مرورگر WebView اعمال نشده است، توسعه دهندگان برنامه كاربردی باید به صورت دستی پیكربندی User Agent را تغییر دهند یا كاربران از مرورگر دیگری استفاده كنند. جهت رفع موقت این نقص، كاربران می توانند از گزینه «Request Desktop Site» در تنظیمات مرورگر كروم اندرویدی هنگام مشاهده وب سایت ها در دستگاه تلفن همراهشان استفاده كنند. استفاده از این گزینه در مرورگر كروم اندرویدی، یك رشته User Agent شبیه لینوكس (Linux ) منتشر می سازد كه دارای نام دستگاه و شماره ساخت سفت افزار نیست. محققان امنیتی بر این باورند كه تمامی نسخه های قبلی مرورگر كروم تحت تأثیر این لطمه پذیری قرار گرفته اند و به تمامی كاربران سفارش می كنند مرورگر كروم خودرا به نسخه ۷۰ یا نسخه های بعدتر ارتقا دهند.

1397/10/29
15:02:09
5.0 / 5
4308
تگهای خبر: تنظیم , سرویس , مهندس , هوشمند
این مطلب را می پسندید؟
(1)
(0)

تازه ترین مطالب مرتبط
نظرات بینندگان در مورد این مطلب
لطفا شما هم نظر دهید
= ۱ بعلاوه ۳
لینک دوستان تعمیركار
SetFix تعمیرکار