اخبار اخبار

درخواست گوگل برای TLD رمزنگاری‌شده

وصله‌ آسیب‌پذیری در نرم‌افزار متن‌باز

گوگل آسیب‌پذیری موجود در یک بسته‎‌ نرم‌افزاری متن‌باز DNS را که به‌عنوان Dnsmasq شناخته می‌شود، وصله کرد.

گوگل در دو اقدام جدید، آسیب‌پذیری موجود در یک بسته‎‌ نرم‌افزاری DNS را که به‌عنوان Dnsmasq شناخته می‌شود، وصله کرد و همچنین گفت که می‌خواهد برای ۴۵ دامنه‌ سطح بالا درخواست رمزنگاری کند که به عنوان یک کنترل‌کننده‌ ثبت‌نام عمل می‌کند.

نرم‌افزار Dnsmasq یک بسته‌ی متن‌باز است که به طور گسترده‌ای در توزیع لینوکس رومیزی مانند اوبونتو، مسیریاب‌های خانگی و دستگاه‌های اینترنت اشیا نصب می‌شود و قابلیت‌هایی را برای به‌‌کارگیریDNS ، DHCP، آگهی مسیریاب و راه‌اندازی شبکه ارائه می‌کند.

گوگل هفت مسئله‌ جداگانه را در داخل این بسته کشف کرد: سه اجرای کد از راه دور بالقوه، یک نشت اطلاعات و سه آسیب‌پذیری منع سرویس توزیع‌شده که آخرین نسخه در پروژه‌ کارگزار گیت را تا پنجم سپتامبر تحت‌تاثیر قرار می‌داد. گوگل گفت که این آسیب‌پذیری‌ها می‌توانند به اجرای کد از راه دور، مسدودسازی اطلاعات و شرایط منع سرویس توزیع‌شده منجر شوند. به عنوان مثال، CVE-14493-2017 یک آسیب‌پذیری سرریز بافر، مبتنی‌بر پشته و بر اساس DHCP است که به‌راحتی می‌تواند مورد بهره‌برداری قرار بگیرد. در ترکیب با CVE-14494-2017 به عنوان یک نشت اطلاعاتی عمل می‌کند که یک مهاجم می‌تواند ASLR را دور بزند و اجرای کد از راه دور را به دست آورد.

این شرکت با توسعه‌دهندگان Dnsmasq برای ایجاد وصله‌ها کاهش خطرات این مسئله همکاری کرده‌است. شرکای اندرویدی نیز این وصله را دریافت کرده‌ و در ماه اکتبر آن را در به‌روزرسانی امنیتی ماهانه‌ خود به کار برده‌اند. در عین حال، گوگل پویش خود را به پیش می‌برد تا پذیرش فعلی رمزنگاری HTTPS برای وب‌سایت‌ها را زیاد کند و به این منظور سازوکار HSTS را برای ۴۵ دامنه‌ برتر مانند ads ،.fly ،.ap. به کار می‌گیرد. سازوکار HSTS که در مرورگرهای اصلی گنجانده شده، یک روشی را برای وب‌سایت‌ها ارائه می‌کند تا از مرورگرها بخواهند با استفاده از پروتکل HTTPS رمزنگاری‌شده ارتباط برقرار کنند. این امنیت بیشتری را فراهم می‌کند، زیرا مرورگر نمی‌تواند یک صفحه‌ تغییر مسیر از HTTP به HTTPS را که ممکن متوقف شده‌باشد، بارگذاری کند.

این جدیدترین حرکتی است که در راه ترویج HTTPS انجام شده‌است. این شرکت در یک پست وبلاگ گفت: «ما در سال ۲۰۱۰ میلادی HTTPS را برای جی‌میل پیش‌فرض قرار دادیم و با قرار دادن جست‌وجوی رمزنگاری‌شده به صورت پیش‌فرض تحول را شروع کردیم. در سال ۲۰۱۴ میلادی، ما با دادن رتبه‌ بهتر به وب‌سایت‌های ایمن در موتور جست‌وجوی گوگل به تشویق دیگر وب‌سایت‌ها برای استفاده از HTTPS شروع کردیم. در سال ۲۰۱۶ میلادی ما در پروژه‌ Let’s Encrypt سرمایه‌گذاری کردیم. Let’s Encrypt سرویسی است که گواهی‌نامه‌های SSL ساده و رایگان ارائه می‌دهد. در اوایل سال جاری اعلام کردیم که مرورگر کروم به نمایش هشدار برای وب‌سایت‌های ناامن شروع خواهدکرد و اخیرا گواهی‌نامه‌های SSL کاملا مدیریت‌شده را در موتور اجرای برنامه‌ی گوگل معرفی کردیم.»

تحت برنامه‌ جدید، ثبت‌کننده‌ها به سادگی با انتخاب یک TLD ایمن برای وب‌سایت خود و پیکربندی یک گواهی‌نامه‌ SSL، محافظت ضمانت‌شده‌ای را برای خود و کاربران خود دریافت می‌کنند، بدون اینکه مجبور باشند دامنه‌ها یا زیردامنه‌های شخصی خود را در فهرست از پیش بارگذاری شده‌ HSTS بیفزایند.

منبع: infosecurity

تصاویر مرتبط
تاریخ انتشار مطلب: 17 مهر 1396
بازدید ها: 13