غوغل تطلق تحديثات أمنية طارئة لحماية متصفح Chrome
تاريخ النشر: 14th, May 2024 GMT
أعلنت شركة غوغل عن إطلاق تحديثات أمنية طارئة لحماية مستخدمي متصفحات Chrome من ثغرة برمجية خطيرة.
وأشارت غوغل إلى أن التحديثات الجديدة جاءت لتصحيح الثغرة البرمجية التي تحمل الرمز "CVE-2024-4671"، والتي من الممكن استغلالها للوصول إلى بيانات Chrome.
ولم تعلن غوغل عن تفاصيل إضافية حول الثغرة كي لا يتم استغلالها من قبل المخترقين وقراصنة الإنترنت، لكن التسريبات تشير إلى أن الثغرة من الممكن استعمالها للوصول إلى البيانات المرئية التي تعرض على واجهات المتصفح.
وتختلف التحديثات التي أطلقتها غوغل لمعالجة الثغرة المذكورة، فبالنسبة لمستخدمي أنظمة Windows على سبيل المثال ينصح بتحميل إصدار Chrome 124.0.6367.202، أما مستخدمي Chrome عبر أنظمة التشغيل الأخرى فيجب عليهم تحميل أحدث إصدار أطلقته غوغل للمتصفح.
إقرأ المزيد
وتجدر الإشارة إلى أن غوغل كانت قد أطلقت منذ بداية العام الجاري العديد من التحديثات لمتصفح Chrome لحماية المستخدمين من عدة ثغرات برمجية من الممكن استغلالها للوصول إلى بيانات أجهزتهم باستخدام الإنترنت.
المصدر: overclockers
المصدر: RT Arabic
كلمات دلالية: أخبار الإنترنت أمن الانترنت البرمجة تطبيقات غوغل Google معلومات عامة ويندوز Windows
إقرأ أيضاً:
تحذير أمني.. ثغرة خطيرة في أداة Gemini CLI من جوجل تهدد المطورين
كشفت شركة Tracebit المتخصصة في الأمن السيبراني عن وجود ثغرة أمنية خطيرة في أداة Gemini CLI، التي أطلقتها جوجل في 25 يونيو لمساعدة المطورين على كتابة التعليمات البرمجية باستخدام تقنية Google Gemini مباشرة عبر سطر الأوامر.
الثغرة تنفذ أوامر خبيثة لسرقة بيانات المطوريم دون علمهموفقا لـ Tracebit، تم اكتشاف الثغرة بعد يومين فقط من إطلاق الأداة، حيث تجمع بين ضعف في التحقق من صحة الأوامر، وهجوم حقن الأوامر Prompt Injection، وتجربة مستخدم مضللة
كل ذلك مكن المهاجمين من تنفيذ تعليمات برمجية ضارة بصمت، بمجرد قيام المستخدم بفحص شيفرة غير موثوقة، مما يسمح بسرقة بيانات الاعتماد والمعلومات الحساسة من جهاز المطور وإرسالها إلى خوادم خارجية، دون علمه.
وقد أوضحت Tracebit في مدونة تقنية الطريقة التي يمكن من خلالها استغلال الثغرة، مشيرة إلى أن الهجوم قد لا يكتشف بسهولة من قبل الضحية بسبب طبيعة تنفيذ الاستغلال في الخلفية.
إفصاح واستجابة جوجلأبلغت Tracebit شركة جوجل عن الثغرة عبر برنامج Bug Hunters في 27 يونيو، أي بعد يومين فقط من إطلاق الأداة.
في البداية، صنفت جوجل الثغرة كـ أولوية منخفضة، لكنها عدلت التصنيف إلى P1, S1 (الأعلى خطورة وأولوية) في 23 يوليو بعد تبين خطورتها.
وفي 25 يوليو، أطلقت جوجل تحديثا جديدا (الإصدار 0.1.14) يتضمن إصلاحا للثغرة، وأعلنت عنه رسميا في 28 يوليو بعد الاتفاق مع الباحثين الأمنيين.
خلال الفترة التي امتدت لنحو شهر بين إطلاق الأداة وإصدار التحديث، لوحظ أن عدة باحثين أمنيين اكتشفوا بعض عناصر الثغرة بشكل مستقل.
كيف يؤثر ذلك على المستخدمين؟ وما هو الحل؟
يمنع التحديث الجديد تنفيذ الأوامر بشكل خفي، حيث يعرض للمستخدمين تحذيرات صريحة في حال محاولة تنفيذ شيفرات ضارة، ويتطلب منهم الموافقة اليدوية على تشغيل أي ملفات تنفيذية إضافية.
كما أكدت جوجل أن الأداة الآن تعتمد على نموذج أمني متعدد الطبقات يشمل:
- تشغيل الأوامر داخل بيئات معزولة Sandboxing عبر أدوات مثل Docker وPodman.
- تحذيرات بارزة باللون الأحمر في حال تعطيل العزل.
- حاويات معدة مسبقا لتأمين تنفيذ الأوامر بشكل تلقائي دون تعريض النظام للخطر.
كما أكدت Tracebit على أهمية التحقق دائما من الشيفرة غير الموثوقة، وخاصة مع الانتشار الواسع لأدوات الذكاء الاصطناعي في بيئة تطوير البرمجيات. ودعت المستخدمين إلى:
- تحديث الأداة فورا إلى الإصدار الأخير
تفعيل ميزات العزل sandboxing عند العمل مع مصادر غير معروفة
فبركوا شهادات جامعية.. استقالة نواب بسبب سير ذاتية مزورة في إسبانيا