به گزارش ایسنا، محققان امنیتی در شرکت گوگل و پروژه زیرو (Google Project Zero)، جزئیات مربوط به آسیبپذیری در مرورگر اج (Edge) را افشا کردهاند زیرا مایکروسافت با توجه به سیاست افشاگری گوگل، در یک مهلت ۹۰ روزه به آن پاسخ نداده است.
این نقص میتواند توسط مهاجمان مورد سوءاستفاده قرار بگیرد تا از ویژگیهای ACG و CIG که در آپدیت ویندوز ۱۰ به مرورگر اج اضافه شدند، عبور کنند. بر اساس اطلاعات وبسایت مرکز ماهر، ACG و CIG ویژگیهای امنیتی نسبتاً جدیدی هستند که مهاجمان را از بارگذاری و اجرای کد مخرب به حافظهی یک رایانه از راه مرورگر اج بازمیدارند.
شرکت مایکروسافت این دو ویژگی امنیتی جدید را در یک پست وبلاگ در سال گذشته اینگونه توصیف کرد: «یک برنامه میتواند بهطور مستقیم کدهای مخرب را از راه بارگذاری یک لینک مخرب از روی دیسک یا با تولید/تغییر کد پویا وارد حافظه کند. ویژگیهایACG و CIGمانع از بارگذاری لینکهای مخرب در مرورگر اج میشوند.
با وجود این، ایوان فراتریک، محقق پروژه زیرو که این آسیبپذیری را کشف کرد، راهی برای دور زدن ویژگی ACG نشان داد. این کارشناس این مسئله را در ۱۷ نوامبر به مایکروسافت گزارش داد و به این شرکت مهلت داد تا آن را حل کند. این غول تکنولوژی در ابتدا برنامهریزی کرد تا این آسیبپذیری را که در حد «شدت متوسط» طبقهبندی شده است، در بهروزرسانی ماه فوریه وصله کند؛ اما پس از آن اعلام کرد که اصلاحات پیچیدهتری از آنچه که پیشبینی شده بود لازم است و ارایهی آن را به سیزدهم ماه مارس موکول کرد.
این اولین بار نیست که فراتریک بهطور عمومی یک اشکال در مرورگر اج را افشا کرده است؛ در ماه فوریهی سال ۲۰۱۷، وی جزئیات فنی مربوط به آسیبپذیری نوع شدیدی را منتشر کرد که میتوانست توسط مهاجمان برای حمله به اینترنت اکسپلورر و مرورگر اج و تحت شرایط خاص برای اجرای کد دلخواه مورد سوءاستفاده قرار گیرد.
انتهای پیام
نظرات