كشف يك آسيب‌پذيري كه داده‌هاي حساس را افشا مي‌كند

كارشناسان امنيت سايبري از كشف آسيب‌پذيري در گوگل كروم خبر داده‌اند كه از راه دور اجازه مي‌دهد مهاجم با ارايه يك صفحه HTML ويژه يا اسكريپت ساخته‌شده، اطلاعات متعلق به مبدأهاي ديگر را استنتاج و در نتيجه داده‌هاي حساس را افشا كند. به گزارش ايسنا، آسيب‌پذيري در امنيت به ضعف يا فرصتي در يك سيستم اطلاعاتي اشاره مي‌كند كه مجرمان سايبري مي‌توانند از آن سوءاستفاده و دسترسي غيرمجاز به يك سيستم رايانه‌اي داشته باشند. آسيب‌پذيري‌ها سيستم‌ها را ضعيف مي‌كنند و در را براي حملات مخرب باز مي‌كنند. در حالي كه يك آسيب‌پذيري به ضعف‌هاي سخت‌افزار، نرم‌افزار يا رويه‌ها مي‌پردازد، راه ورود هكرها براي دسترسي به سيستم‌ها، يك سوءاستفاده با كد مخربي است كه مجرمان سايبري براي استفاده از آسيب‌پذيري‌ها و به خطر انداختن زيرساخت فناوري اطلاعات استفاده مي‌كنند. در اين راستا اخيرا كارشناسان امنيت سايبري از كشف آسيب‌پذيري در مرورگر گوگل كروم خبر داده‌اند. درباره جزييات بيشتر مي‌توان گفت موتور جاوا اسكريپت V۸ مسوول تبديل، اجراي كدهاي    JavaScript و بهينه‌سازي آنها براي عملكرد بالا در مرورگر Google Chrome است. از آن‌جا كه V۸ در مديريت حافظه، زمان‌بندي اجراي كد و تعامل با زيرسيستم‌هاي مرورگر دخالت مستقيم دارد، آسيب‌پذيري‌هاي آن مي‌توانند تأثير وسيعي بر محرمانگي و يكپارچگي داده‌ها در صفحات وب داشته باشند. در اين حمله، مهاجم يك صفحه وب يا قطعه‌كدي را ارايه مي‌دهد كه با اجراي متوالي عمليات و اندازه‌گيري‌هايي مانند تأخيرهاي اجراي توابع، اختلافات در دسترسي به حافظه نهان (cache) يا تغيير در مصرف منابع، داده‌هاي زماني جمع‌آوري مي‌كند. با تحليل آماري اين اندازه‌گيري‌ها، مهاجم مي‌تواند اطلاعاتي را كه بايد از نظر مبدأ ايزوله باشند، مانند محتويات نشست‌ها، داده‌هاي بين‌دامنه يا كليدهاي موقت، بازسازي يا استنتاج كند. اين نوع حمله مستلزم تعامل كاربر است (باز كردن صفحه مخرب يا بارگذاري آن در چارچوبي كه كاربر به‌صورت ناخواسته باز مي‌كند) . بهره‌برداري موفق مي‌تواند به افشاي داده‌هاي بين‌دامنه، افشاي محتواي نشست‌ها، دسترسي به اطلاعات حساس بارگذاري‌شده در پنجره‌هاي ديگر و در موارد پيشرفته به تهديد محرمانگي حساب‌ها و كوكي‌ها منجر شود. مهاجم با فريب كاربر براي باز كردن صفحه‌اي مخرب يا قرار دادن آن در يك قاب قابل بارگذاري، كدي اجرا مي‌كند كه تفاوت‌هاي رفتاري موتور V۸ (زمان‌بندي اجرا، الگوهاي كشينگ يا مصرف منابع) را اندازه‌گيري و تحليل مي‌كند؛ با تكرار اين اندازه‌گيري‌ها و تحليل آماري نتايج، مي‌توان اطلاعاتي استخراج كرد كه بايد به‌طور منطقي ميان مبدأها ايزوله باشند. در سايت‌هاي ناشناخته جاوااسكريپت را غيرفعال كنيد يا از افزونه‌هاي مديريت اسكريپت (مثل ليست سفيد) در محيط‌هاي حساس بهره ببريد. كاربران را نسبت به بازكردن صفحات ناشناس يا لينك‌هاي مشكوك آموزش دهيد.