پرده برداری گوگل از یک آسیب پذیری بحرانی در کروم

گوگل اعلام کرد که یک آسیب‌پذیری بحرانی zero-day در مرورگر کروم احتمالا می تواند کاربران را درگیر سوء استفاده های جدی کند.

به گزارش تکناک، مانند آسیب‌پذیری بحرانی zero-day که گوگل در تاریخ ۱۱ سپتامبر اعلام کرد، آسیب‌پذیری جدیدی که مورد سوءاستفاده قرار گرفته است تنها بر روی کروم تأثیر نمی‌گذارد.

قبلاً موزیلا اعلام کرده است که مرورگر فایرفاکس نسبت به همان باگ آسیب‌پذیر است و کد CVE-2023-5217 به آن اختصاص داده شده است و مانند CVE-2023-4863 که ۱۷ روز پیش اعلام شد، آسیب‌پذیری جدید در کتابخانه‌ای که در پردازش فایل‌های رسانه‌ای، به خصوص فایل‌های با فرمت VP8 استفاده می‌شود، قرار دارد.

صفحاتی در اینجا و اینجا صدها بسته برای توزیع‌های Ubuntu و Debian را فقط بر اساس کتابخانه معروف libvpx لیست می‌کنند. اکثر مرورگرها از این کتابخانه استفاده می‌کنند و لیست نرم‌افزارها یا فروشندگانی که از آن پشتیبانی می‌کنند، شبیه یک لیست شخصیت‌های مشهور اینترنت است و شامل اسکایپ، ادوبی، VLC و اندروید می‌شود.

مشخص نیست چند بسته نرم‌افزاری که وابسته به libvpx هستند، در معرض آسیب‌پذیری CVE-2023-5217 قرار خواهند گرفت. گوگل اعلام می‌کند که zero-day برای رمزگذاری ویدئو اعمال می‌شود. در مقابل، zero-day مورد سوءاستفاده در libwebp، کتابخانه‌ای که در ماه قبل نسبت به حملات آسیب‌پذیر بود، برای رمزگذاری و رمزگشایی کار می‌کرد. به عبارت دیگر، بر اساس جمله‌بندی در اعلامیه، CVE-2023-5217 نیاز به یک دستگاه هدف برای ایجاد رسانه با فرمت VP8 دارد. CVE-2023-4863 ممکن است در هنگامی که یک دستگاه هدف به سادگی تصویری که دارای تله‌گذاری است را نمایش می‌دهد، سوءاستفاده شود.

طبق گفته ویل دورمن، تحلیلگر اصلی ارشد در Analygence ، “وابستگی یک بسته به libvpx به هیچ وجه به معنای آسیب‌پذیر بودن آن نیست”. وی ادامه داد: “آسیب‌پذیری در رمزگذاری VP8 وجود دارد، بنابراین اگر چیزی فقط برای رمزگشایی از libvpx استفاده کند، نگرانی ندارد.” با این تفاوت مهم، احتمالاً بسیاری از بسته‌ها علاوه بر کروم و فایرفاکس نیاز به پچ کردن خواهند داشت. وی اظهار داشت: “مرورگرهای فایرفاکس، کروم به همراه سایر ابزارهایی که قابلیت رمزگذاری VP8 را از libvpx به جاوااسکریپت (به عبارت دیگر مرورگرهای وب) ارائه می‌دهند، به نظر می‌رسد در معرض خطر قرار دارند.”

در حال حاضر اطلاعات محدودی درباره حملات در حال انجام که از zero-day جدید سوءاستفاده می‌کنند، در دسترس است. پست گوگل فقط اعلام کرد که کدی که از این آسیب استفاده می‌کند “در محیط واقعی وجود دارد.” یک پست در رسانه‌های اجتماعی از مدی استون، یک پژوهشگر امنیتی در گروه تحلیل تهدید گوگل، گفت که zero-day “توسط یک فروشنده نظارت تجاری” استفاده می‌شود. گوگل، کلمنت لوسینی، عضو گروه تحلیل تهدید گوگل را به عنوان کشف کننده آسیب‌پذیری در روز دوشنبه، دو روز قبل از انتشار پچ در روز چهارشنبه، معرفی کرد.

Zero-day در نسخه 117.0.5938.132 Chrome، نسخه 118.0.1 Firefox، نسخه 115.3.1 Firefox ESR، نسخه 118.1 Firefox Focus برای اندروید و نسخه 118.1 Firefox برای اندروید پچ شده است.

تشابه‌های دیگری بین دو zero-day وجود دارد. هر دوی آنها ناشی از سرریز buffer هستند که اجازه اجرای کد از راه دور با کمترین یا بدون هیچ تعاملی از سوی کاربر نهایی را فقط با بازدید از یک صفحه وب مخرب می‌دهند. هر دوی آنها بر کتابخانه‌های رسانه‌ای تأثیر می‌گذارند که گوگل آنها را بیش از یک دهه‌ قبل منتشر کرده است. و هر دو کتابخانه به زبان C نوشته شده‌اند، یک زبان برنامه‌نویسی ۵۰ ساله که غیرایمن شناخته می‌شود زیرا مستعد آسیب پذیری های تخریب حافظه است.

این بار یک نکته متفاوت است: جمله بندی که در CVE اختصاص داده شده توسط گوگل در روز چهارشنبه استفاده شده است، واضح است که آسیب‌پذیری نه تنها بر روی کروم بلکه بر روی libvpx هم تأثیر دارد. هنگامی که گوگل CVE-2023-4863 را اختصاص داد، تنها اشاره کرد که آسیب‌پذیری بر روی کروم تأثیر دارد که این باعث ایجاد ابهام شد و منجر به کاهش سرعت پچ دادن توسط بسته‌های نرم‌افزاری دیگری که تحت تأثیر قرار گرفتند، شد.

احتمالاً چند روز دیگر طول می‌کشد تا دامنه کامل CVE-2023-5217 مشخص شود. توسعه دهندگان پروژه برای libvpx به ایمیل پاسخی ندادند که در آن پرسیده شد آیا نسخه پچ شده از کتابخانه در دسترس است و چه چیزهای خاصی برای بهره‌برداری از نرم‌افزارهایی که از این کتابخانه استفاده می‌کنند، لازم است. در حال حاضر، افرادی که از برنامه‌ها، چارچوب‌های نرم‌افزاری یا وبسایت‌هایی استفاده می‌کنند که شامل VP8 هستند، به ویژه برای رمزگذاری ویدئو، باید احتیاط کنند.