هشدار روز صفر: گوگل کروم تحت حمله فعال، بهره برداری از یک آسیب‌پذیری جدید

گوگل به‌روزرسانی‌های امنیتی را برای رفع هفت مشکل امنیتی در مرورگر کروم خود منتشر کرده است، از جمله یک نقص روز صفر که در سطح اینترنت تحت بهره‌برداری فعال قرار گرفته است.

این آسیب‌پذیری با شدت بالا که به‌عنوان CVE-2023-6345 ردیابی می‌شود، به‌عنوان یک اشکال سرریز اعداد صحیح در Skia، یک کتابخانه گرافیکی دوبعدی منبع باز توصیف شده است.

Benoît Sevens و Clément Lecigne از گروه تحلیل تهدیدات گوگل (TAG) با کشف و گزارش این نقص در ۲۴ نوامبر ۲۰۲۳ اعتبار دارند.

همانطور که معمولاً اتفاق می‌افتد، این غول جستجو اذعان کرد[۱] که “یک بهره‌بردار برای CVE-2023-6345 در سطح اینترنت وجود دارد”، اما از به اشتراک گذاشتن اطلاعات اضافی در مورد ماهیت حملات و عوامل تهدیدی که ممکن است آن‌ها را به صورت واقعی تسلیحاتی کنند، خودداری کرد.

شایان ذکر است که گوگل وصله‌هایی را برای یک نقص سرریز عدد صحیح مشابه در همان مؤلفه (CVE-2023-2136) در آوریل ۲۰۲۳ منتشر کرد که همچنین تحت بهره‌برداری فعال به عنوان نقص روز صفر قرار گرفته بود، و این احتمال را افزایش می‌دهد که CVE-2023-6345 می‌تواند یک وصله دور زدن برای اولی باشد.

گفته می‌شود که CVE-2023-2136 به یک مهاجم راه دور که فرآیند رندر را به خطر انداخته بود، اجازه می‌دهد تا از طریق یک صفحه HTML دستکاری شده، یک فرار از sandbox را انجام دهد.

با آخرین به روز رسانی، این غول فناوری از ابتدای سال در مجموع به شش نقص روز صفر در کروم پرداخته است:

• CVE-2023-2033 (امتیاز CVSS: 8.8) – نوع سردرگمی در V8[2]
• CVE-2023-2136 (امتیاز CVSS: 9.6) – سرریز عدد صحیح در Skia[3]
• CVE-2023-3079 (امتیاز CVSS: 8.8) – نوع سردرگمی در V8[4]
• CVE-2023-4863 (امتیاز CVSS: 8.8) – سرریز بافر هیپ در WebP[5]
• CVE-2023-5217 (امتیاز CVSS: 8.8) – سرریز بافر پشته در رمزگذاری vp8 در libvpx[6]

به کاربران توصیه می شود برای کاهش تهدیدات احتمالی، Chrome را به نسخه ۱۱۹٫۰٫۶۰۴۵٫۱۹۹ برای Windows و ۱۱۹٫۰٫۶۰۴۵٫۱۹۹ برای macOS و Linux ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi توصیه می‌شود که به محض در دسترس شدن، این اصلاحات را اعمال کنند.

[۱] https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

[۲] https://apa.aut.ac.ir/?p=9594

[۳] https://thehackernews.com/2023/04/google-chrome-hit-by-second-zero-day.html

[۴] https://thehackernews.com/2023/06/zero-day-alert-google-issues-patch-for.html

[۵] https://apa.aut.ac.ir/?p=9950

[۶] https://thehackernews.com/2023/09/update-chrome-now-google-releases-patch.html

[۷] https://thehackernews.com/2023/11/zero-day-alert-google-chrome-under.html