گوگل آخرین نسخه‌ی مرورگر کروم را با هدف وصله‌کردن یک آسیب‌پذیری روز صفرم منتشر کرده است

گوگل در تاریخ ۲۴ فوریه یک به‌روزرسانی مهم نرم‌افزاری را برای مرورگر وب کروم، نسخه‌ی دسکتاپ خود منتشر کرده است که طی چند روز آینده، در دسترس کاربران ویندوز، مک و لینوکس قرار خواهد گرفت. آخرین نسخه‌ی کروم، ۸۰٫۰٫۳۹۸۷٫۱۲۲، شامل وصله‌های امنیتی برای سه آسیب‌پذیری جدید است که همه‌ی آن‌ها با شدت بالا طبقه‌بندی شده‌اند. طبق گزارش‌ها، یکی از این آسیب‌پذیری‌ها که با شناسه‌ی CVE-2020-6418 ردیابی می‌شود، در دنیای واقعی نیز مورد بهره‌برداری قرار گرفته است.

توضیح مختصری از آسیب‌پذیری‌های موجود در کروم که درصورت وصله‌نشدن، سیستم کاربر را به خطر می‌اندازند، به شرح زیر است:

  • اشکال سرریز عدد صحیح در ICU؛ گزارش‌شده توسط آندره بارگول در تاریخ ۲۲ ژانویه،
  • اشکال دسترسی خارج از محدوده به حافظه در streams (CVE-2020-6407)؛ گزارش‌شده توسط سرگئی گلازونوف از پروژه‌ی صفر گوگل در تاریخ ۲۷ ژانویه،
  • اشکال اختلال گونه در V8 (CVE-2020-6418)؛ گزارش‌شده توسط کلمن لسین از گروه تجزیه و تحلیل تهدیدات گوگل در تاریخ ۱۸ فوریه.

آسیب‌پذیری سرریز عدد صحیح ماه گذشته توسط آندره بارگول به‌صورت خصوصی به گوگل اعلام شد که مبلغ ۵هزار دلار پاداش را نیز برای وی به همراه داشت. درحالی‌که دو آسیب‌پذیری دیگر توسط کارشناسان تیم امنیتی گوگل شناسایی شده‌اند.

به گفته‌ی گوگل، نقص امنیتی  CVE-2020-6418 که ناشی از یک خطای اختلال گونه در موتور اجرایی جاوااسکریپت V8 آن است، به‌طور فعال در دنیای واقعی مورد بهره‌برداری قرار می‌گیرد، اگرچه اطلاعات فنی در مورد این آسیب‌پذیری درحال‌حاضر محدود است. این غول جستجو، جزئیات بیشتری را در مورد آسیب‌پذیری‌ها فاش نکرده تا کاربران آسیب‌دیده فرصت کافی برای نصب به‌روزرسانی کروم داشته باشند و به این ترتیب، از بهره‌برداری از این اشکال‌ها توسط مهاجمان نیز جلوگیری کند.

بهره‌برداری موفقیت‌آمیز از آسیب‌پذیری‌های سرریز عدد صحیح یا نوشتن خارج از محدوده به یک مهاجم راه دور اجازه می‌دهد تا یک سیستم آسیب‌پذیر را با فریب کاربر برای بازدید از یک صفحه‌ی وب طراحی‌شده‌ی خاص، به خطر انداخته و کد دلخواه خود را بر روی سیستم هدف اجرا کند. به کاربران سیستم عامل‌های ویندوز، لینوکس و مک توصیه می‌شود که جدیدترین نسخه‌ی مرورگر کروم را با رفتن به بخش «Help > About Chrome» از منوی تنظیمات دانلود و نصب کنند.

منبع

پست‌های مشابه

Leave a Comment