جوجل تعالج ثغرة أمنية عرضت مستخدمي "كروم" لخطر القرصنة
كتب - عاصم الأنصاري:
رصد باحث أمني ثغرة أمنية في متصفح كروم تعرض بيانات المستخدمين لخطر القرصنة، حيث تسمح للمهاجمين بتجاوز سياسة أمان المحتوى (CSP) على مواقع الويب من أجل تنفيذ التعليمات البرمجية المخادعة.
وتتأثر إصدارات كروم منذ النسخة 73 (الصادرة في شهر مارس 2019) حتى النسخة 83، وعالجت شركة جوجل الأمريكية الثغرة بإصدار النسخة 84 في شهر يوليو.
وتُعد سياسة أمان المحتوى (CSP) بمثابة معيار ويب يهدف إلى إحباط أنواع معينة من الهجمات، من ضمنها هجمات البرمجة النصية عبر المواقع (XSS) وهجمات حقن البيانات.
ويسمح معيار (CSP) لمسؤولي الويب بتحديد المجالات التي يجب على المستعرض اعتبارها مصادر صالحة للبرامج النصية القابلة للتنفيذ.
ويقوم المستعرض المتوافق مع معيار (CSP) بتنفيذ البرامج النصية التي تم تحميلها في الملفات المصدرية المستلمة من تلك المجالات.
وقال الباحث الأمني، غال وايزمان: "معيار CSP هي الطريقة الأساسية المستخدمة من مالكي مواقع الويب لفرض سياسات أمان البيانات لمنع عمليات تنفيذ التعليمات البرمجية الضارة على مواقع الويب الخاصة بهم".
وأضاف "عندما يمكن تجاوز السياسات، فإن بيانات المستخدم الشخصية تصبح في خطر".
وأشار الباحث إلى أن معظم مواقع الويب تستخدم (CSP)، من ضمنها عمالقة الإنترنت، مثل فيسبوك وجيميل وإنستجرام وواتساب.
ولم تتأثر بعض الأسماء البارزة، من ضمنها (GitHub) ومتجر جوجل بلاي ولينكدإن وباي بال وتويتر وصفحة تسجيل الدخول إلى ياهو وياندكس.
ووفق ما ذكرت البوابة العربية للأخبار التقنية، لاستغلال الثغرة الأمنية، يحتاج المهاجم إلى الوصول إلى خادم الويب، وذلك حتى يتمكن من تعديل تعليمات جافا سكريبت (JavaScript) التي يستخدمها.
ويمكن للمهاجم بعد ذلك إضافة توجيه (frame-src) أو (child-src) في جافا سكريبت للسماح للتعليمات البرمجية المحقونة بالعمل، مع تجاوز (CSP) وسياسة الموقع.
وتصنف الثغرة الأمنية على أنها مشكلة متوسطة الخطورة بحسب مقياس (CvSS)، لكن بالنظر إلى أنها تؤثر في تطبيق معيار (CSP)، فإن ذلك يعني أنها ذات آثار كبرى.
فيديو قد يعجبك: