تحركت Google وMicrosoft وMozilla جميعًا لتصحيح الثغرة الحرجة صفر يوم ثغرة تؤثر على متصفحاتهم ومن المحتمل أن تكون مرتبطة بنشر برامج التجسس التجارية الضارة.
تم تعيين الثغرة الأمنية المعنية بالتعيين CVE-2023-4863. إنه عيب في تجاوز سعة المخزن المؤقت قائم على الكومة يمكّن المهاجم عن بعد من إجراء كتابة خارج الحدود للذاكرة عبر صفحة HTML ضارة.
تم العثور عليه في برنامج ترميز WebP، وهو تنسيق ملف صور تم تطويره بواسطة Google ويدعمه متصفحات أخرى، ومن هنا جاءت الإجراءات اللاحقة التي اتخذتها Microsoft وMozilla.
قال جوجل لقد قامت بتحديث القنوات الثابتة والممتدة لمتصفح Chrome إلى 116.0.5845.187 لنظامي التشغيل Mac وLinux، و116.0.5845.187/.188 لنظام التشغيل Windows، ليتم طرحها خلال الأيام القادمة.
وقال سرينيفاس سيستا، مدير البرنامج الفني لمتصفح Google Chrome: “نود أيضًا أن نشكر جميع الباحثين الأمنيين الذين عملوا معنا خلال دورة التطوير لمنع الأخطاء الأمنية من الوصول إلى القناة المستقرة”. “تدرك Google أن استغلال CVE-2023-4863 موجود في البرية.”
قالت مايكروسوفت أثرت المشكلة على إصدارات Microsoft Edge السابقة لـ 116.0.1938.81، ونصحت المستخدمين بالتحديث إلى هذا الإصدار أو الإصدارات الأحدث.
قالت موزيلا الإصدارات المتأثرة من Firefox وFirefox ESR وThunderbird هي Firefox 117.01 وFirefox ESR 1-2.15.1 وFirefox ESR 115.2.1 وThunderbird 102.15.1 وThunderbird 115.2.2. وأكدت بالإضافة إلى ذلك أنها كانت على علم بالثغرات الموجودة في البرية.
وأوضح بول بيشوف، المدافع عن خصوصية المستهلك في شركة Comparitech، أن هجمات تجاوز سعة المخزن المؤقت هي هجوم إلكتروني “كلاسيكي” يؤدي إلى تنفيذ البيانات الفائضة أو التسبب في تعطل النظام.
وقال: “إذا تمكن المهاجمون من خداع أجهزة الضحية لتنفيذ تعليمات برمجية عشوائية، فإن ذلك سيسمح لهم بشن أي عدد من الهجمات اللاحقة لاختراق الأنظمة وتصعيد الامتيازات وزرع البرامج الضارة وسرقة البيانات”.
“نحن لا نعرف جميع تفاصيل ثغرات WebP الموجودة حاليًا، ولكن يبدو من المحتمل أن المنظمات الحكومية وCNI [critical national infrastructure] قال بيشوف: “قد يكونون في خطر إذا استخدموا المتصفحات المتأثرة وفشلوا في تحديثها”.
في إشارة إلى تأثيره، تمت إضافة CVE-2023-4863 بالفعل إلى CISA نقاط الضعف المستغلة المعروفة (KEV)، مما يلزم المنظمات الحكومية الأمريكية بتطبيق التصحيحات قبل 4 أكتوبر. وعلى الرغم من أن هذا التفويض ليس له مكانة رسمية أو قانونية خارج نطاق الحكومة الأمريكية، إلا أنه يقدم إشارة واضحة مفادها أنه يجب على جميع المستخدمين إعطاء الأولوية لجهود الإصلاح.
بالإضافة إلى ذلك، هناك أيضًا دلائل تشير إلى أن تأثير المشكلة يمتد إلى ما هو أبعد من عالم متصفحات الويب، ويؤثر أيضًا على أي برنامج يستخدم مكتبة libwebp، والتي تتضمن عددًا من تطبيقات الهاتف المحمول المبنية على إطار تطوير برمجيات Electron بما في ذلك 1Password وDiscord. وDropbox وSignal وSkype وSlack وMicrosoft Teams وTwitch. أصدرت الإلكترون أيضًا تصحيحًا. وفقًا لأليكس إيفانوف من StackDiary، تم “تمييز الثغرة الأمنية بشكل خاطئ على أنها مخصصة لمتصفح Chrome فقط لشراء Mitre ومؤسسات أخرى”، وعلى هذا النحو، تم الإبلاغ عنها على نطاق واسع بأنها تؤثر فقط على المتصفحات في البداية.
المواطنين الواقفين
CVE-2023-4863 هو الأحدث في سلسلة الأيام الصفرية التي تم الكشف عنها بواسطة مختبر المواطن في مدرسة مونك بجامعة تورنتو – في هذه الحالة العمل جنبًا إلى جنب مع شركة Apple للهندسة والهندسة المعمارية الأمنية (SEAR).
قبل عطلة نهاية الأسبوع الماضي، قامت شركة Apple بالفعل بإصلاح يومين آخرين من أيام عدم النقر الصفري في نظام تشغيل الهاتف المحمول iOS الخاص بها والذي يُزعم أنه تم إصلاحه. استغلالها لتوزيع برامج التجسس التجارية تم إنشاؤها بواسطة مجموعة NSO. NSO هي شركة تصنيع برامج تجسس إسرائيلية مرتبطة بمراقبة الدولة الخبيثة، ولا سيما مقتل الصحفي جمال خاشقجي على يد السلطات السعودية، الذي كان يعمل لدى واشنطن بوست وقُتل في القنصلية السعودية بإسطنبول عام 2018.
في أحدث تطور في تحقيقاته المستمرة حول أنشطة مجموعة “إن إس أو”، نشر “سيتيزن لاب” هذا الأسبوع تفاصيل جديدة عن التعاون الاستقصائي مع “إن إس أو” الوصول الآن، يكشف كيف تم اختراق هاتف iPhone الخاص بـ Galina Timchenko من قبل أحد عملاء NSO باستخدام برنامج التجسس Pegasus الخاص بها.
تيمشينكو هي صحفية روسية حائزة على جوائز ومؤسس مشارك لوسائل الإعلام المستقلة والمحظورة ميدوزا، والتي اضطرت إلى الفرار من منزلها بسبب معارضتها لنظام بوتين وتعيش الآن في لاتفيا. اتصلت منظمتها بـ Access Now في يونيو بعد أن أبلغتها شركة Apple بأن جهات التهديد التي ترعاها الدولة ربما تستهدف جهازها. ووجد التحقيق أن هاتفها الذكي قد أصيب بالعدوى برنامج التجسس Pegasus التابع لشركة NSO في 10 فبراير أو حوالي ذلك التاريخ، بينما كانت تحضر ندوة في برلين.
تصمم شركة NSO برنامج Pegasus عمدًا للتعتيم على من يستخدمه، لذا فإن إسناد الحادث بشكل حازم إلى روسيا ليس بالضرورة صفقة محسومة – الاتحاد الأوروبي (EU) لجنة PEGA تعتقد لجنة التحقيق للتحقيق في استخدام برنامج Pegasus وبرامج التجسس المماثلة للمراقبة أن هناك 14 مشغلًا حكوميًا لبرنامج Pegasus داخل الاتحاد الأوروبي نفسه، بما في ذلك ألمانيا ولاتفيا.
تم تحرير هذه المقالة الساعة 13:40 بتوقيت جرينتش يوم الخميس 14 سبتمبر 2023 لتضمين معلومات جديدة حول مدى المشكلة.
