فوری: بهره‌برداری از آسیب‌پذیری جدید روز صفر در گوگل کروم در سطح اینترنت- به‌روزرسانی دراسرع‌وقت

گوگل به‌روزرسانی‌های امنیتی را برای مرورگر وب کروم ارائه کرده است تا یک نقص شدید روز صفر را برطرف کند که گفته است در سطح اینترنت مورد بهره‌برداری قرار گرفته است.

این آسیب‌پذیری که شناسه CVE CVE-2023-7024 به آن اختصاص دارد، به‌عنوان یک اشکال سرریز بافر مبتنی بر پشته در چارچوب WebRTC توصیف شده است[۱] که می‌تواند منجر به خرابی برنامه یا اجرای کد دلخواه شود.

کلمنت لجین و ولاد استولیاروف از گروه تحلیل تهدیدات گوگل (TAG) مسئول کشف و گزارش این نقص در ۱۹ دسامبر ۲۰۲۳ هستند.

هیچ جزئیات دیگری در مورد این نقص امنیتی برای جلوگیری از سوءاستفاده بیشتر منتشر نشده است، زیرا گوگل اذعان کرده است[۲] که “یک سوءاستفاده برای CVE-2023-7024 در سطح اینترنت وجود دارد.”

باتوجه‌به اینکه WebRTC یک پروژه منبع‌باز است و توسط موزیلا فایرفاکس و اپل سافاری نیز پشتیبانی می‌شود، در حال حاضر مشخص نیست که آیا این نقص تأثیری فراتر از مرورگرهای کروم و کرومیم دارد یا خیر.

این توسعه هشتمین روز صفر مورد بهره‌برداری فعال کروم از ابتدای سال را نشان می‌دهد:

• CVE-2023-2033 (امتیاز CVSS: 8.8) – نوع سردرگمی در V8[3]
• CVE-2023-2136 (امتیاز CVSS: 9.6) – سرریز عدد صحیح در اسکیا[۴]
• CVE-2023-3079 (امتیاز CVSS: 8.8) – نوع سردرگمی در V8[5]
• CVE-2023-4762 (امتیاز CVSS: 8.8) – نوع سردرگمی در V8[6]
• CVE-2023-4863 (امتیاز CVSS: 8.8) – سرریز بافر هیپ در WebP[7]
• CVE-2023-5217 (امتیاز CVSS: 8.8) – سرریز بافر پشته در رمزگذاری vp8 در libvpx[8]
• CVE-2023-6345 (امتیاز CVSS: 9.6) – سرریز عدد صحیح در Skia[9]

طبق داده‌های گردآوری شده توسط [۱۰]Qualys، در مجموع ۲۶۴۴۷ آسیب‌پذیری تا کنون در سال ۲۰۲۳ فاش شده است که با بیش از ۱۵۰۰ آسیب پذیری بیش از سال قبل، ۱۱۵ نقص توسط عوامل تهدید و گروه‌های باج‌افزاری تا به حال بهره‌برداری شده است.

اجرای کد از راه دور، دورزدن ویژگی امنیتی، دست‌کاری بافر، افزایش امتیاز، و اعتبارسنجی ورودی و نقص‌های تجزیه به‌عنوان برترین انواع آسیب‌پذیری ظاهر شدند.

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، کروم را به نسخه ۱۲۰٫۰٫۶۰۹۹٫۱۲۹/۱۳۰ برای Windows و ۱۲۰٫۰٫۶۰۹۹٫۱۲۹ برای macOS و Linux ارتقا دهند.

همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به‌محض در دسترس شدن، اصلاحات موردنظر را اعمال کنند.

 

منابع

[۱] https://cwe.mitre.org/data/definitions/122.html

[۲] https://chromereleases.googleblog.com/2023/12/stable-channel-update-for-desktop_20.html

[۳] https://apa.aut.ac.ir/?p=9594

[۴] https://thehackernews.com/2023/04/google-chrome-hit-by-second-zero-day.html

[۵] https://apa.aut.ac.ir/?p=9721

[۶] https://thehackernews.com/2023/09/latest-apple-zero-days-used-to-hack.html

[۷] https://apa.aut.ac.ir/?p=9950

[۸] https://thehackernews.com/2023/09/update-chrome-now-google-releases-patch.html

[۹] https://apa.aut.ac.ir/?p=10115

[۱۰] https://blog.qualys.com/vulnerabilities-threat-research/2023/12/19/2023-threat-landscape-year-in-review-part-one

[۱۱] https://thehackernews.com/2023/12/urgent-new-chrome-zero-day.html