کشف نمونه‌های جدید از شکاف امنیتی زمانی در روند اصلاح نرم‌افزاری مرورگر کروم

محققان امنیتی به تازگی نمونه‌ای جدید از شکاف امنیتی زمانی در روند اصلاح نرم‌افزاری مرورگر‌ گوگل کروم شناسایی کرده‌اند که می‌تواند پیش از در دسترس قرار گرفتن اصلاحیه امنیتی این مرورگر برای کاربران، توسط هکرها به منظور توسعه اکسپلویت‌ها و اجرای حملات مختلف علیه کاربران مورد استفاده قرار گیرد.

براساس خبرهای منتشر شده، ایستوان کروکسای، محقق امنیتی شرکت Exodus با انتشار یادداشتی اعلام کرده که توانسته است از شکاف امنیتی زمانی در مروگر کروم، برای بهره‌برداری از یک آسیب‌پذیری امنیتی در V8، موتور متن‌باز جاوااسکریپت به کار رفته در این مرورگر، استفاده کند.

کروکسای با انتشار جزئیات کامل برای اثبات این آسیب‌پذیری، نشان داده است که چگونه مهاجمان می‌توانند از این مساله برای توسعه کدهای مخرب و کیت‌های نفوذ استفاده کنند.

 

 

شکاف امنیتی زمانی در روند اصلاح نرم‌افزاری که به آن «Patch gapping» نیز گفته می‌شود، یک اصطلاح فنی نسبتاً جدید است که برای توصیف آسیب‌پذیری‌های در حال اصلاح در نرم‌افزارهای متن‌باز و بهره‌برداری از آن‌ها پیش از انتشار اصلاحیه امنیتی، استفاده می‌شود. در بیان ساده‌تر، شکاف امنیتی زمانی به فاصله زمان بین اصلاح یک نقص امنیتی آشکار (برای عموم) در یک نرم‌افزار تا زمان انتشار اصلاحیه آن اشاره دارد.

در همین رابطه محققان می‌گویند که مهاجمان می‌توانند فرآیند انتشار اصلاحیه‌های امنیتی در نرم‌افزارهای متن باز را تحت نظر گرفته و از شکاف‌های امنیتی زمانی، برای حمله به کاربران نرم‌افزار‌های در حال آزمایش اصلاحیه‌ها استفاده کنند.

برای مثال در نمونه اخیر، ایستوان کروکسای از شکاف امنیتی زمانی اصلاحیه V8 که در ماه آگوست منتشر شده بود، اما انتشار اصلاحیه مرتبط با آن در مرورگر کروم تا تاریخ ۱۰ سپتامبر، همزمان با انتشار نسخه ۷۷ این مرورگر به تعویق افتاده بود، استفاده کرده است.

 

 

توضیحات بیشتر در:

Security researchers expose another instance of Chrome patch gapping