ثغرة أمنية جديدة في RCE تؤثر على قناة Google Chrome Dev
ظهرت تفاصيل حول ثغرة أمنية حرجة في تنفيذ التعليمات البرمجية عن بُعد تم تصحيحها مؤخرًا في محرك V8 JavaScript و WebAssembly المستخدم في Google Chrome والمتصفحات المستندة إلى Chromium.
تتعلق المشكلة بحالة الاستخدام اللاحق في مكون تحسين التعليمات، وقد يؤدي الاستغلال الناجح لها إلى “السماح للمهاجم بتنفيذ تعليمات برمجية عشوائية في سياق المتصفح”.
تم الإبلاغ عن الخلل، الذي تم تحديده في إصدار قناة Dev من Chrome 101، إلى Google بواسطة Weibo Wang، وهو باحث أمني في شركة الأمن السيبراني السنغافورية Numen Cyber Technology ومنذ ذلك الحين تم إصلاحه بهدوء من قبل الشركة.
قال وانغ: “تحدث هذه الثغرة الأمنية في مرحلة اختيار التعليمات ، حيث تم اختيار التعليمات الخاطئة وتؤدي إلى استثناء في الوصول إلى الذاكرة”.
تحدث عيوب الاستخدام اللاحق عند الوصول إلى الذاكرة المحررة سابقًا، مما يؤدي إلى سلوك غير محدد ويتسبب في تعطل البرنامج أو استخدام بيانات تالفة أو حتى تنفيذ تعليمات برمجية عشوائية.
الأمر الأكثر إثارة للقلق هو أنه يمكن استغلال الخلل عن بُعد عبر موقع ويب مصمم خصيصًا لتجاوز قيود الأمان وتشغيل تعليمات برمجية عشوائية لخرق الأنظمة المستهدفة.
وأوضح Wang : “يمكن استغلال هذه الثغرة الأمنية بشكل أكبر باستخدام تقنيات Heap spraying، ومن ثم تؤدي إلى ضعف” نوع الارتباك type confusion”. “تسمح الثغرة للمهاجم بالتحكم في مؤشرات الوظيفة أو كتابة تعليمات برمجية في مواقع عشوائية في الذاكرة ، وتؤدي في النهاية إلى تنفيذ التعليمات البرمجية.”
لم تكشف الشركة بعد عن الثغرة الأمنية عبر بوابة Chromium bug tracker لمنح أكبر عدد ممكن من المستخدمين لتثبيت الإصدار المصحح أولاً. أيضًا، لا تخصص Google معرفات CVE لنقاط الضعف الموجودة في قنوات Chrome غير المستقرة.
يجب على مستخدمي Chrome، وخاصة المطورين الذين يستخدمون إصدار Dev من Chrome للاختبار للتأكد من أن تطبيقاتهم متوافقة مع أحدث ميزات Chrome وتغييرات واجهة برمجة التطبيقات، التحديث إلى أحدث إصدار متوفر من البرنامج.
-
تقنية ثورية.. زرع جهاز في العين قد يعالج مرض السكري
في خطوة ثورية ضمن عالم التكنولوجيا الطبية، نجح فريق من الباحثين السويديين في تطوير جهاز مجهري قابل للزرع داخل العين،... علوم و تكنولوجيا -
“تيك توك لايت” خدمة جديدة تثير المخاوف!
يثير تطبيق "تيك توك لايت" TikTok Lite الجديد قلق الاتحاد الأوروبي وفرنسا، لخشيتهما من أن يكون المبدأ الذي يقوم عليه... علوم و تكنولوجيا -
ميتا تطلق مساعد الذكاء الاصطناعي المحسّن Meta AI في منصاتها
بدأت شركة ميتا إطلاق مساعد الذكاء الاصطناعي Meta AI بقدرات محسّنة في المنصات التابعة لها، بفضل نموذج اللغة الكبير الجديد... علوم و تكنولوجيا -
خبراء: الذكاء الاصطناعي يسرع عمليات البحث عن الهجمات السيبرانية
ذكر خبراء في شركة "كاسبرسكي" المتخصصة بأمن المعلومات أن تقنيات الذكاء الاصطناعي ستساعد في تسريع عمليات البحث عن الهجمات الإلكترونية... علوم و تكنولوجيا -
هل تنقل سماعات الأذن بياناتك الشخصية؟
حذرت منظمة أميركية غير حكومية، الأربعاء، من الأخطار المرتبطة بـ"التكنولوجيا العصبية"، التي تعني تسويق أجهزة قادرة على تسجيل نشاط الدماغ،... علوم و تكنولوجيا -
تيك توك تطلق تطبيق Notes لمنافسة إنستاجرام
بدأت منصة مشاركة مقاطع الفيديو تيك توك إطلاق تطبيق Notes المنافس لإنستاجرام لعدد محدود من المستخدمين في كندا وأستراليا. وأعلنت تيك... علوم و تكنولوجيا