01/09/2020

كشفت مجموعة أبحاث و استخبارات وأبحاث تالوس التابعة لشركة Cisco هذا الأسبوع عن تفاصيل نقاط الضعف التي تم تصحيحها مؤخراً و التي تؤثر على متصفحي الويب Chrome و Firefox.

تم تصحيح ثغرة Chrome ، الذي تم تتبعه باسم CVE-2020-6463 ومصنف على أنه درجة عالية من الخطورة مع درجة CVSS  8.8  من قبل Google في أبريل مع إصدار Chrome 81.0.4044.122. منحت شركة التكنولوجيا العملاقة مكافأة قدرها 5000 دولار لاكتشاف الثغرات.

تؤثر الثغرة الأمنية ، الموصوفة بأنها مشكلة تلف في الذاكرة ، على PDFium ، و عارض PDF مفتوح المصدر يستخدمه Chrome والتطبيقات الأخرى. يمكن للمهاجم استغلال الضعف في تنفيذ التعليمات البرمجية عن بُعد في المستعرض عن طريق جعل المستخدم المستهدف يفتح مستنداً تم تصميمه خصيصاً يحتوي على كود JavaScript.

“يدعم PDFium تنفيذ أوامر Javascript المضمنة في مستندات PDF. مثل Chrome نفسه ، يستخدم PDFium محرك V8 كمحرك جافا سكريبت. وأوضح ثالوس أن هذه الثغرة تكمن في طريقة V8 في تكوين معين يعالج الجُمل البرمجية العادية.

وقد أصدرت تالوس تقريراً يتضمن وصفاً تقنياً مفصلاً للثغرة وسببها الجذري.

أصدرت جوجل تصحيحاً لـثغرة  CVE-2020-6463 بعد أسبوعين تقريباً من علمها بوجودها. كما تعالج نسخة كروم التي تصلح هذا الخلل العديد من القضايا الخطيرة الأخرى، بما في ذلك تلك التي منحت عملاق التكنولوجيا 15,000 دولار و 20,000 دولار من خيراتها.

أما بالنسبة لثنة فايرفوكس، فقد كشف تالوس عن تفاصيل CVE-2020-12418، وهي مشكلة عالية الخطورة تتعلق بوظيفة URL mPath، والتي يمكن استغلالها للحصول على معلومات يمكن أن تسمح للمهاجم بتجاوز ASLR وتنفيذ التعليمات البرمجية التعسفية. ينطوي الاستغلال على الحصول على المستخدم المستهدف للوصول إلى صفحة ويب تحتوي على كائن URL معد بشكل خاص.

هذه واحدة من العديد من نقاط الضعف الشديدة التي تم تصحيحها بواسطة “موزيلا” هذا الأسبوع مع إصدار Firefox 78. وقد أبلغ تالوس النتائج التي توصل إليها إلى موزيلا في أواخر مايو.