کشف 10 نقص امنیتی در ابزار انتقال فایل Quick Share گوگل 

security news

بیش از 10 نقص امنیتی در ابزار انتقال داده Quick Share گوگل برای اندروید و ویندوز کشف شده است که می‌تواند جهت راه‌اندازی زنجیره اجرای کد از راه دور (RCE) در سیستم‌هایی که نرم‌افزار را نصب کرده‌اند، مونتاژ شود.

محققین SafeBreach Labs در گزارشی فنی گفتند: این آسیب‌پذیری‌ها شامل چندین نقص منع سرویس از راه دور (DoS)، نقص پیمایش دایرکتوری و نقص اتصال اجباری Wi–Fi می‌باشد. محققان با بررسی نحوه عملکرد پروتکل، منطقی (لاجیک) را در برنامه Quick Share ویندوز شناسایی کردند که می‌توان آن را دستکاری کرد یا دور زد.

9 آسیب‌پذیری بر روی Quick Share برای ویندوز و یک آسیب‌پذیری تأثیرگذار بر اندروید، می‌توانند به یک زنجیره حمله RCE برای اجرای کد دلخواه بر روی میزبان‌های ویندوز تبدیل شوند. زنجیره حمله RCE تحت عنوان QuickShell شناخته می‌شود. این باگ‌ها در Quick Share نسخه 1.0.1724.0 و جدیدتر برطرف شده است.

گوگل به طور تجمعی نقص‌ها را تحت دو شناسه CVE زیر ردیابی می‌کند:

  1. CVE–2024–38272 (امتیاز CVSS: 7.1): آسیب‌پذیری که به مهاجم اجازه می‌دهد دیالوگ فایل پذیرش در ویندوز را دور بزند.
  2. CVE–2024–38271 (امتیاز CVSS: 5.9): آسیب‌پذیری که قربانی را مجبور می‌کند به اتصال Wi–Fi موقت ایجاد شده برای اشتراک‌گذاری متصل بماند.

https://thehackernews.com/2024/08/researchers-uncover-10-flaws-in-googles.html