كروم يعرّض المستخدمين لخطر سرقة البيانات

يعرّض متصفح كروم مليارات المستخدمين لخطر سرقة البيانات، حيث تسمح ثغرة في متصفحات جوجل القائمة على (Chromium) للمهاجمين بتجاوز سياسة أمان المحتوى (CSP) على مواقع الويب؛ من أجل تنفيذ تعليمات برمجية مخادعة، تم العثور على الخطأ CVE-2020-6519 في متصفحات (Chrome) و (Opera) و (Edge) على أنظمة ويندوز وأندرويد وماك .

ووفقًا لباحث الأمن السيبراني فمن المحتمل تؤثر الثغرة الأمنية في مليارات المستخدمين، وتتأثر إصدارات كروم منذ النسخة 73 حتى النسخة 83، ثم أُصدرت النسخة 84 وأُصلحت المشكلة.

وتُعد سياسة أمان المحتوى (CSP) بمثابة معيار للويب يهدف إلى إحباط أنواع معينة من الهجمات، ومن ضمنها هجمات البرمجة النصّيّة عبر المواقع (XSS)، وهجمات حقن البيانات، ويسمح معيار (CSP) لمسؤولي الويب بتحديد المجالات التي يجب على المستعرض اعتبارها مصادر صالحة للبرامج النصية القابلة للتنفيذ، ويقوم المستعرض المتوافق مع معيار (CSP) بتنفيذ برامج نصية تم تحميلها في الملفات المصدرية مستلَمة من تلك المجالات.

قال وايزمان في بحث: معيار (CSP) طريقة أساسية مستخدمة من مالكي مواقع الويب لفرض سياسات أمان البيانات لمنع عمليات تنفيذ التعليمات البرمجية الضارة على مواقع الويب الخاصة بهم، وأضاف يمكن تجاوز السياسات، فإن بيانات المستخدم الشخصية تصبح في خطر.

أشار الباحث إلى أن معظم مواقع الويب تستخدم (CSP)، ومن ضمنها عمالقة الإنترنت، مثل فيسبوك وجيميل وإنستاجرام وواتساب، لم تتأثر بعض الأسماء البارزة، التي منها (GitHub) ومتجر جوجل بلاي ولينكدإن وباي بال وتويتر وصفحة تسجيل الدخول إلى ياهو وياندكس.

تصنف ثغرة أمنية بأنها مشكلة متوسطة الخطورة – 6.5 من 10 بحسب مقياس (CvSS) –  لكن بالنظر أنها تؤثر في تطبيق معيار (CSP)، فإن ذلك يعني أنها ذات آثار كبرى، وقارنها وايزمان بمشكلة أحزمة الأمان والوسائد الهوائية في السيارة.

نلتقي في مقال اخر مع اخصائي امن المعلومات سعيد جبر

سعيد جبر أخصائي أمن المعلومات

بخبرة تصل لأكثر من 20 عاماُ جعلته يتربع على عرش المجالات المُتعلقة بأمن تكنولوجيا المعلومات وإدارة المخاطر، حيث يُعد أكثر المجالات أهمية وهيمنة على المستوى الرقمي والواقعي