براساس خبرهای منتشر شده، ایستوان کروکسای، محقق امنیتی شرکت Exodus با انتشار یادداشتی اعلام کرده که توانسته است از شکاف امنیتی زمانی در مروگر کروم، برای بهرهبرداری از یک آسیبپذیری امنیتی در V8، موتور متنباز جاوااسکریپت به کار رفته در این مرورگر، استفاده کند.
کروکسای با انتشار جزئیات کامل برای اثبات این آسیبپذیری، نشان داده است که چگونه مهاجمان میتوانند از این مساله برای توسعه کدهای مخرب و کیتهای نفوذ استفاده کنند.
شکاف امنیتی زمانی در روند اصلاح نرمافزاری که به آن «Patch gapping» نیز گفته میشود، یک اصطلاح فنی نسبتاً جدید است که برای توصیف آسیبپذیریهای در حال اصلاح در نرمافزارهای متنباز و بهرهبرداری از آنها پیش از انتشار اصلاحیه امنیتی، استفاده میشود. در بیان سادهتر، شکاف امنیتی زمانی به فاصله زمان بین اصلاح یک نقص امنیتی آشکار (برای عموم) در یک نرمافزار تا زمان انتشار اصلاحیه آن اشاره دارد.
در همین رابطه محققان میگویند که مهاجمان میتوانند فرآیند انتشار اصلاحیههای امنیتی در نرمافزارهای متن باز را تحت نظر گرفته و از شکافهای امنیتی زمانی، برای حمله به کاربران نرمافزارهای در حال آزمایش اصلاحیهها استفاده کنند.
برای مثال در نمونه اخیر، ایستوان کروکسای از شکاف امنیتی زمانی اصلاحیه V8 که در ماه آگوست منتشر شده بود، اما انتشار اصلاحیه مرتبط با آن در مرورگر کروم تا تاریخ ۱۰ سپتامبر، همزمان با انتشار نسخه ۷۷ این مرورگر به تعویق افتاده بود، استفاده کرده است.
توضیحات بیشتر در:
- Security researchers expose another instance of Chrome patch gapping