بیش از 10 نقص امنیتی در ابزار انتقال داده Quick Share گوگل برای اندروید و ویندوز کشف شده است که میتواند جهت راهاندازی زنجیره اجرای کد از راه دور (RCE) در سیستمهایی که نرمافزار را نصب کردهاند، مونتاژ شود.
محققین SafeBreach Labs در گزارشی فنی گفتند: این آسیبپذیریها شامل چندین نقص منع سرویس از راه دور (DoS)، نقص پیمایش دایرکتوری و نقص اتصال اجباری Wi–Fi میباشد. محققان با بررسی نحوه عملکرد پروتکل، منطقی (لاجیک) را در برنامه Quick Share ویندوز شناسایی کردند که میتوان آن را دستکاری کرد یا دور زد.
9 آسیبپذیری بر روی Quick Share برای ویندوز و یک آسیبپذیری تأثیرگذار بر اندروید، میتوانند به یک زنجیره حمله RCE برای اجرای کد دلخواه بر روی میزبانهای ویندوز تبدیل شوند. زنجیره حمله RCE تحت عنوان QuickShell شناخته میشود. این باگها در Quick Share نسخه 1.0.1724.0 و جدیدتر برطرف شده است.
گوگل به طور تجمعی نقصها را تحت دو شناسه CVE زیر ردیابی میکند:
- CVE–2024–38272 (امتیاز CVSS: 7.1): آسیبپذیری که به مهاجم اجازه میدهد دیالوگ فایل پذیرش در ویندوز را دور بزند.
- CVE–2024–38271 (امتیاز CVSS: 5.9): آسیبپذیری که قربانی را مجبور میکند به اتصال Wi–Fi موقت ایجاد شده برای اشتراکگذاری متصل بماند.
https://thehackernews.com/2024/08/researchers-uncover-10-flaws-in-googles.html
