گوگل همواره قابلیت‌های جدیدی را به مرورگر کروم خود اضافه می‌کند؛ اما تمامی این امکانات به اندازه 3 مورد قابل ارائه در اواخر ماه نوامبر تاثیرگذار نیستند. طی هفته گذشته گوگل با انتشار یک پست وبلاگی به تشریح کلیه امکانات بزرگ ورژن 108 مرورگر کروم پرداخت. این نسخه از مرورگر هم‌اکنون در مرحله تست بتا قرار دارد. 3 ویژگی جدید بسیار کاربردی بوده و بی‌تردید کاربران حداقل از یکی از آنها به‌طور مرتب استفاده خواهند کرد.

مرورگر کروم 108 با 3 ویژگی جدید منتشر می‌شود. نخستین ویژگی جدید به‌طور کامل برای فصل خرید تعطیلات تدارک دیده شده است. جشنواره فروش جمعه سیاه در ماه نوامبر برگزار خواهد شد و طی این رویداد تقریبا تمامی خرده فروشی‌ها محصولاتی را عرضه خواهند کرد. در چنین شرایطی تلاش جهت یافتن بهترین قیمت پیشنهادی برای یک محصول احتمالا امری چالش‌برانگیز به‌شمار می‌رود. اینجاست که ابزار جدید ردیاب قیمت کروم وارد عمل می‌شود.

کاربران به منظور استفاده از این قابلیت بایستی به هر فروشگاه آنلاین مراجعه نموده و محصولی که مایل به ردیابی قیمت آن هستند را پیدا کنند. سپس به منظور آغاز ردیابی قیمت آن محصول روی دکمه جدید Track price در نوار آدرس کلیک کنند. در صورت تغییر قیمت محصول، کاربران یک ایمیل اطلاع‌رسانی را دریافت خواهند کرد. همچنین کاربر در صورت انصراف از ردیابی قیمت یک محصول به آسانی می‌تواند روی دکمه Tracking price در نوار آدرس کلیک نموده و سپس روی دکمه Untrack کلیک کند.

همچنین آپدیت جدید کروم به کاربران امکان می‌دهد تا از طریق پنل جانبی به مقایسه نتایج جستجو بپردازند. بدین منظور کاربران بایستی به جستجوی موضوع مورد نظر خود در گوگل پرداخته و سپس یک نتیجه را انتخاب کنند. اکنون یک دکمه با ظاهری مشابه لوگو G گوگل در سمت راست نوار آدرس نمایان می‌شود. با کلیک روی این دکمه، ابزار جستجو در پنل جانبی باز می‌شود. اکنون کاربر بدون فشردن دکمه back قادر به پرش بین نتایج جستجو خواهد بود. چنان‌چه از نسخه 107.0.5304.88 گوگل کروم یا ورژن‌های جدیدتر آن استفاده می‌کنید؛ در این‌صورت به ویژگی فوق دسترسی خواهید داشت.

نهایتا کاربران می‌توانند پسوردهای ذخیره شده روی کروم را بین کامپیوتر دسکتاپ و دستگاه‌های موبایلی خود همگام‌سازی نمایند. بدین منظور بایستی مرورگر کروم روی دستگاه موبایلی را اجرا نموده و سپس روی نشان سه نقطه در گوشه پایین سمت راست ضربه بزنید. در ادامه بایستی منوی تنظیمات را باز کرده و روی گزینه Turn On Sync ضربه بزنید. در صفحه بعدی نیز بایستی گزینه Yes, I’m In را لمس کنید. بدین‌ترتیب شما قادر به مشاهده پسوردهای خود در تمامی دستگاه‌هایتان خواهید بود.

 

نوشته ویژگی‌های جدید مرورگر گوگل کروم موجب تسهیل زندگی کاربران خواهند شد اولین بار در آی‌ تی‌ رسان منتشر شد.

در این مقاله به جزئیات مهمترین به روزرسانی هایی که در ماه اکتبر عرضه شدند می‌پردازیم تا هیچ آپدیت مهمی را از دست ندهید. با ما در آی‌تی‌رسان همراه باشید.

انتشار به‌روزرسانی‌ها در ماه اکتبر به‌صورت منظم و سریع ادامه یافتند، و پچ‌هایی از قبیل iOS، Google Chrome، Android و البته مایکروسافت در Patch سه‌شنبه ماهانه‌اش در دسترس قرار گرفتند. این‌ها در کنار به‌روزرسانی‌هایی برای رفع مشکلات در محصولات Zoom، Cisco، VMWare و SAP هستند.

در اینجا جزئیات مربوط به تمام پچ‌های مهم منتشر شده در ماه اکتبر آمده است تا بدانید که باید کدام یک برنامه‌های خود را به‌روز کنید.

اپل iOS 16.1 و iPadOS 16

اکتبر شاهد انتشار دو نسخه iOS 16 پس از عرضه سیستم عامل به‌روز شده سازنده آیفون یعنی در اپل در ماه سپتامبر بود. ابتدا iOS 16.0.3 آمد، که برخی از مشکلات را برطرف کرد، از جمله چندین باگ و همچنین یک نقص امنیتی در Mail که می‌توانست منجر به حملات DOS شود.

تنها چند هفته بعد، اپل iOS 16.1 و iPadOS 16 را منتشر کرد – که دومی همزمان با عرضه آخرین مدل‌های iPad به تعویق افتاد. آخرین نسخه‌های iOS با فهرست بسیار طولانی‌تری از رفع‌های امنیتی همراه و شامل رفع مشکلی بودند که قبلاً مورد سوء استفاده قرار گرفته‌اند.

طبق صفحه پشتیبانی اپل، آسیب‌پذیری هسته که به‌عنوان CVE-2022-42827 یاد می‌شود، می‌تواند به برنامه اجازه دهد تا کدهای خاص و مخربی را در هسته اجرا کند. این به‌روزرسانی سیستم عامل در مجموع 20 آسیب پذیری را برطرف می‌کند، از جمله سه آسیب پذیری در هسته قلب سیستم عامل آیفون.

در همین حال، iOS 16.1 چهار نقص در WebKit، موتوری که مرورگر سافاری را تامین می‌کند، برطرف کرده، که دو مورد از آن‌ها در صورت سوء استفاده می‌توانند منجر به اجرای کدهای مخرب شوند.

اپل همچنین iOS 15.7.1 و iPadOS 15.7.1 را منتشر کرده است که نقص هسته که قبلاً مورد سوء استفاده قرار گرفته را برطرف می‌کند.

با توجه به جدی بودن مشکلات و عدم ارائه جزئیات، ایده خوبی است که دستگاه‌های اپل خود را در اسرع وقت به iOS 16.1 یا iOS 15.7.1 به‌روزرسانی کنید.

پچ سه شنبه مایکروسافت

پچ سه‌شنبه بار دیگر همراه با فهرست نسبتاً سنگینی از اصلاحات عرضه شد که شامل 84 نقص می‌شود. از این تعداد، 13 مورد به عنوان بحرانی رتبه بندی شده‌اند و یکی از آن‌ها در حملات اخیر استفاده می‌شد. با نام CVE-2022-41033، افزایش آسیب‌پذیری‌ها در سرویس سیستم رویداد از Windows COM Plus تقریباً بر هر نسخه از ویندوز تأثیر می‌گذارد. این نقص جدی است، زیرا می‌تواند با ترکیب با دیگر حفره‌های امنیتی منجر به سوءاستفاده‌های منتهی به تسلط بر رایانه شما شود.

لازم به ذکر است که در به‌روزرسانی‌های سه شنبه مایکروسافت راه‌حلی برای رفع دو باگ فعال به‌عنوان CVE-2022-41040 و CVE-2022-41082، معروف به ProxyNotShell وجود نداشت. این نقص‌ها توسط فروشنده امنیتی GTSC به مایکروسافت گزارش شده است. مایکروسافت اقداماتی را برای جلوگیری به اشتراک گذاشته، اما این محققان هشدار می‌دهند که امکان دور زدن آن‌ها نیز وجود دارد.

گوگل کروم

اکتبر شاهد یک به‌روزرسانی اضطراری دیگر برای کاربران Google Chrome بود، که گوگل اصلاحی را برای اشتباهی در موتور جاوا اسکریپت V8 که به‌عنوان CVE-2022-3723 ردیابی شده بود، عرضه کرد. این مشکل در عرض چند روز پس از گزارش توسط محققان Avast اصلاح شد، که نشان‌دهنده جدی بودن آن است: این نقص می‌تواند برای اجرای کد و به دست آوردن کنترل سیستم مورد سوء استفاده قرار گیرد. گوگل اعلام کرد که «از گزارش‌هایی مبنی بر وجود یک سوءاستفاده برای CVE-2022-3723 آگاه است».

در اوایل ماه جاری، گوگل، کروم نسخه 106 را منتشر کرد و شش آسیب‌پذیری با شدت بالا را اصلاح کرد. نقص‌های قابل توجه عبارتند از CVE-2022-3445، یک باگ UAF در Skia، کتابخانه گرافیکی دوبعدی متن باز که به عنوان موتور گرافیکی Google Chrome عمل می‌کند.

گوگل در وبلاگ خود نوشت، مشکلات دیگری که در ماه اکتبر برطرف شد عبارتند از یک حفره Heap Buffer Overflow در WebSQL که به عنوان CVE-2022-3446 ردیابی می‌شود و یک اشکال UAF در API دسترسی‌ها که به عنوان CVE-2022-3448 ردیابی می‌شود. گوگل همچنین دو باگ UAF را در مرور امن و اتصالات Peer برطرف کرد.

اندروید

به‌روزرسانی امنیتی اندروید برای ماه اکتبر شامل رفع 15 نقص در چارچوب و سیستم و 33 مشکل در اجزای هسته و Vendor است. یکی از نگران‌کننده‌ترین مسائل، یک آسیب‌پذیری امنیتی حیاتی در مؤلفه Framework است که می‌تواند منجر به تشدید Escalation of Privilege محلی شود، که تحت عنوان CVE-2022-20419 دنبال می‌شود. در همین حال، یک نقص در هسته همچنین می‌تواند بدون نیاز به Privileges اجرایی اضافی منجر به تشدید Escalation of Privilege محلی شود.

هیچ یک از این مشکلات در حملات استفاده نشده است، اما بازهم منطقی به نظر می‌رسد که دستگاه خود را بررسی کنید و در صورت امکان آن را به‌روز کنید. گوگل این به‌روزرسانی را برای دستگاه‌های پیکسل خود منتشر کرده است و همچنین برای گوشی‌های سری گلکسی S21 و S22 سامسونگ و گلکسی S21 FE نیز در دسترس است.

سیسکو

سیسکو از شرکت‌ها خواسته است تا دو نقص در AnyConnect Secure Mobility Client برای ویندوز خود را پس از تأیید استفاده از آسیب‌پذیری‌ها در حملات، اصلاح کنند. با ردیابی CVE-2020-3433، اولین مورد می‌تواند به مهاجمی با اعتبارنامه‌های معتبر در ویندوز اجازه دهد تا کد را روی دستگاه آسیب‌دیده با امتیازات سیستمی اجرا کند.

در همین حال، CVE-2020-3153 می‌تواند به یک مهاجم با اعتبارنامه معتبر ویندوز اجازه دهد تا فایل‌های مخرب را در مکان‌های دلخواه با امتیازات سطح سیستمی کپی کند.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده ایرادات، سیسکو را به فهرست آسیب‌پذیری‌های مورد سوء استفاده خود اضافه کرده است.

در حالی که هر دو نقص سیسکو نیاز به احراز هویت مهاجم دارند، بازهم به‌روزرسانی کردن و جلوگیری از احتمالات، کار عقلانی و منطقی است.

Zoom

سرویس کنفرانس ویدیویی Zoom در ماه اکتبر چندین مشکل را اصلاح کرد، از جمله نقصی در Zoom Client برای جلسات، که به عنوان “دارای شدت بالا” با امتیاز CVSS 8.8 مشخص شده است. زوم می‌گوید نسخه‌های قبل از نسخه 5.12.2 مستعد آسیب پذیری تجزیه URL هستند که به عنوان CVE-2022-28763 ردیابی می‌شود.

Zoom در یک گزارش امنیتی گفت: “اگر یک URL ملاقات مخرب زوم باز شود، این پیوند ممکن است کاربر را به اتصال به یک آدرس شبکه دلخواه هدایت کند که منجر به حملات اضافی از جمله تصاحب جلسات شود.

در اوایل ماه، Zoom به کاربران هشدار داد که برنامه خود برای جلسات macOS که با نسخه 5.10.6 و قبل از نسخه 5.12.0 شروع می‌شود، دارای پیکربندی اشتباه پورت اشکال زدایی است.

VMWare

غول نرم افزاری VMWare یک آسیب پذیری جدی ردیابی شده به عنوان CVE-2021-39144 را در بنیاد ابری خود اصلاح کرده است.

آسیب‌پذیری اجرای کد از راه دور از طریق کتابخانه متن باز XStream دارای یک شدت بحرانی با حداکثر امتیاز پایه CVSSv3 9.8 است. VMWare در مشاوره‌ای گفت: “به دلیل یک نقطه پایانی تأیید نشده که از XStream برای سریال سازی ورودی در VMware Cloud Foundation استفاده می‌کند، یک Actor مخرب می‌تواند اجرای کد از راه دور را در زمینه “ریشه” در دستگاه دریافت کند.”

به‌روزرسانی VMware Cloud Foundation همچنین به آسیب پذیری XML External Entity با امتیاز پایه کمتر CVSSv3 5.3 می‌پردازد. این باگ که به‌عنوان CVE-2022-31678 ردیابی می‌شود، می‌تواند به کاربر احراز هویت نشده اجازه دهد تا حمله DOS را انجام دهد.

زیمبرا

شرکت نرم‌افزاری Zimbra پچ‌هایی را برای رفع نقص اجرای کد که قبلاً مورد سوء استفاده قرار گرفته بود، منتشر کرده است که می‌تواند به مهاجم اجازه دسترسی به حساب‌های کاربری را بدهد. این مشکل که با نام CVE-2022-41352 دنبال می‌شود، دارای امتیاز شدت CVSS 9.8 است.

محققین Rapid7 توانستند استفاده از این حفره امنیتی را در برخی حملات شناسایی کنند. Zimbra در ابتدا یک راه حل برای رفع آن منتشر کرد، اما اکنون پچ در دسترس است، که باید آن را در اسرع وقت اعمال کنید.

SAP

شرکت نرم افزاری سازمانی SAP بیست و سه یادداشت امنیتی جدید و به‌روز شده را در روز پچ اکتبر خود منتشر کرده است. یکی از جدی‌ترین مسائل، آسیب‌پذیری حیاتی Path Traversal در SAP Manufacturing Execution است. این آسیب پذیری بر دو افزونه اثر می‌گذارد: Work Instruction Viewer و Visual Test and Repair و دارای امتیاز CVSS 9.9 است.

مشکل دیگر با امتیاز CVSS 9.6 آسیب پذیری سرقت حساب در صفحه ورود SAP Commerce است.

Oracle

غول نرم افزاری Oracle به عنوان بخشی از به‌روزرسانی امنیتی سه ماهه خود، 370 پچ بزرگ منتشر کرده است. به‌روزرسانی پچ بحرانی اوراکل برای ماه اکتبر 50 آسیب‌پذیری را که به عنوان بحرانی رتبه‌بندی شده‌اند، برطرف می‌کند.

این به‌روزرسانی شامل 37 پچ امنیتی جدید برای Oracle MySQL است که 11 مورد از آن‌ها ممکن است بدون احراز هویت از راه دور قابل بهره برداری باشند. همچنین شامل 24 پچ امنیتی جدید برای برنامه‌های خدمات مالی Oracle است که 16 مورد از آن‌ها ممکن است بدون احراز هویت از راه دور قابل بهره برداری باشند.

با توجه به “تهدید ناشی از یک حمله موفقیت آمیز”، اوراکل “اکیداً توصیه می‌کند” که مشتریان در اسرع وقت این پچ‌های امنیتی را اعمال کنند.

نوشته همین حالا گوشی و ویندوز خود را به‌روزرسانی کنید! معرفی مهم‌ترین به‌روزرسانی‌های ماه اکتبر اولین بار در آی‌ تی‌ رسان منتشر شد.

یک وبلاگ‌نویس مشهور با شناسه JerryRigEverything اخیرا تست‌های سنجش دوام خود را روی اسمارت‌فون پرچم‌دار جدید گوگل اجرا نموده است. بدین منظور وی تصمیم به گسترش آیتم‌های مورد ارزیابی گرفت و مقاومت گوگل پیکسل 7 پرو در برابر خراشیدگی را مورد بررسی قرار داد. به بیان دقیق‌تر این فعال یوتیوبی، مقاومت فریم فلزی گوشی را ارزیابی کرد؛ قسمتی که به‌طور همزمان به سوی ماژول دوربین پیکسل 7 پرو نیز امتداد یافته است.

همان‌طور که در ویدیوی زیر ملاحظه می‌کنید؛ سطح فلز به آسانی دچار خراشیدگی می‌شود. بنابراین کاربران هنگام استفاده از گوشی بایستی جانب احتیاط را رعایت کنند. همچنین در پدیده‌ای عجیب، شخص وبلاگ‌نویس با کشیدن چاقو روی گلس‌های پشتی و جلویی گوشی موفق به ایجاد خراشیدگی‌هایی در این قسمت‌ها شد. تماس چاقوهایی از این دست با شیشه به‌طور معمول موجب ایجاد خط و خش روی آن نمی‌شود؛ چرا که سختی فلز مورد استفاده برای تولید این چاقوها کمتر از 6 در مقیاس موس است.

در عین‌حال ابزارهای کالیبره شده هیچ‌گونه عملکرد غیر عادی از خود نشان ندادند. استفاده از ابزار با درجه سختی 5 موجود ایجاد خراشیدگی روی گلس نشد؛ اما با به‌کارگیری ابزار با درجه سختی 6، خراشیدگی‌هایی روی گلس ظاهر شدند. تهیه‌کننده ویدیو ادعا می‌کند که این موضوع به گونه خاصی از چاقوها مربوط می‌شود. اما بایستی توجه داشت که حتی استفاده از یک چاقوی دیگر نیز موجب ایجاد خراشیدگی‌هایی روی گلس شد. متاسفانه این بلاگر از تست چاقوهای مورد اشاره روی گلس یک اسمارت‌فون دیگر غافل شد.

در رابطه با تست خمش نیز اگرچه گوگل پیکسل 7 پرو مردود نشد؛ اما در عین‌حال از این آزمون نیز به‌طور کامل سربلند بیرون نیامد. همان‌طور که در ویدیو مشاهده می‌کنید؛ کیس گوشی از محل قرارگیری آنتن دچار ترک شد؛ اما در عین‌حال دستگاه به‌طور کامل متلاشی نشد.

نوشته گوگل پیکسل 7 پرو در تست سنجش دوام ناامیدکننده ظاهر شد + ویدیو اولین بار در آی‌ تی‌ رسان منتشر شد.

گوگل بارها ثابت کرده است که به هیچ وجه نمی‌خواهد برای اپلیکیشن مسنجر RCS خود، یعنی Messages کم‌کاری کند و انواع و اقسام امکانات را به آن اضافه می‌کند؛ حتی وقتی که شرکت رقیب، اپل، عنوان می‌کند که عمر پیام‌رسان‌هایی از این جنس به سر آمده است.

چند روز پیش بود که در مطلبی به امکانات جدید اضافه شده به Messages پرداختیم و در آن اشاره کردیم که گوگل نه تنها ویژگی‌های جدید و متنوعی به این اپلیکیشن اضافه کرده، بلکه حتی آیکون آن را هم تغییر داده است تا بیشتر توجه کاربرش را جلب کند. حالا در آخرین تغییرات اضافه شده به این پیام‌رسان، گوگل در حال تست پیغام تحویلی جدید است.

این پیغام تحویل که شاید نمونه آن را پیشتر در اپلیکیشن واتس‌اپ دیده باشیم، به فرستنده پیامک نشان می‌دهد که پیامش فرستاده شده، تحویل داده شده و خوانده شده است. تا پیش از این، تمام این اتفاقات به واسطه پیام‌هایی از قبیل «در حال ارسال»، «ارسال شد» و «خوانده شد» به اطلاع کاربران می‌رسید.

همان طور که در تصویر می‌بینید، از این به بعد تمامی این پیام‌ها با آیکون‌هایی نمایش داده می‌شوند. علاوه بر این در کنار آنها یک آیکون قفل هم دیده می‌شود که نشان می‌دهد تمامی پیامک‌ها رمزگذاری شده هستند. یک تیک در دایره به معنای آن است که پیام ارسال شده، دو تیک در دو دایره یعنی پیام تحویل داده شده و هنگامی که این دایره‌ها سبز می‌شوند، یعنی مخاطب شما پیامکتان را خوانده است.

در چت‌های گروهی به جای نمایش آیکون خوانده شد، منشنی خاص از افرادی که پیام را دیده‌اند، نمایش داده می‌شود یا در نهایت پیام Read by all (تمام اعضا خواندند) نشان داده می‌شود.

پیش از این نیز اشاره شده که همین سیستم پیش از این در پیام‌رسان‌هایی مانند واتس‌اپ و سیگنال دیده شده بود. البته این ویژگی جدید به صورت آزمایشی در اپلیکیشن Messages اجرا می‌شود، ولی شاید در آینده‌ای نزدیک شاهد انتشار گسترده آن باشیم. کاربرانی که به نسخه بتای اپلیکیشن دسترسی دارند، افزوده شدن این ویژگی جدید را تایید کرده‌اند و علاقه‌مندان نیز می‌توانند با دسترسی به این نسخه آن را امتحان کنند.

نوشته پیام تحویل پیامک‌ها در اپلیکیشن مسیج اندروید متحول می‌شود اولین بار در آی‌ تی‌ رسان منتشر شد.