هشدار روز صفر: اکنون کروم را به‌روزرسانی کنید تا یک آسیب‌پذیری جدید که به طور فعال مورد بهره‌برداری قرار گرفته است را برطرف کنید!

گوگل روز سه‌شنبه ۱۶ ژانویه ۲۰۲۴ به‌روزرسانی‌هایی را برای رفع چهار مشکل امنیتی در مرورگر کروم خود منتشر کرد، از جمله یک نقص روز صفر که به طور فعال مورد بهره برداری قرار گرفته است.

این مشکل که با نام CVE-2024-0519 دنبال می‌شود، مربوط به دسترسی خارج از محدوده حافظه در موتور V8 جاوا اسکریپت و WebAssembly است که می‌تواند توسط عوامل تهدید به سلاح تبدیل شود تا باعث خرابی شود.

بر اساس سرشماری ضعف مشترک MITRE (CWE): “با خواندن حافظه خارج از محدوده، یک مهاجم ممکن است بتواند مقادیر مخفی مانند آدرس‌های حافظه را دریافت کند که می‌تواند مکانیسم‌های حفاظتی مانند ASLR را دور بزند تا قابلیت اطمینان و احتمال بهره‌برداری از یک ضعف جداگانه برای دستیابی به کد را بهبود بخشد.”

جزئیات بیشتر در مورد ماهیت حملات و عوامل تهدیدکننده‌ای که ممکن است از آنها بهره‌برداری کنند، در تلاش برای جلوگیری از بهره‌برداری بیشتر پنهان شده است. این موضوع به‌صورت ناشناس در ۱۱ ژانویه ۲۰۲۴ گزارش شد.

در توضیح این نقص در پایگاه‌داده آسیب‌پذیری ملی NIST (NVD) آمده است: «دسترسی به حافظه خارج از محدوده در V8 در گوگل کروم قبل از ۱۲۰٫۰٫۶۰۹۹٫۲۲۴ به یک مهاجم راه دور اجازه می‌داد تا به طور بالقوه از خرابی heap از طریق یک صفحه HTML دستکاری شده بهره برداری کند».

این اولین آسیب‌پذیری روز صفر است که در سال ۲۰۲۴ توسط گوگل در کروم وصله شد.

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، کروم را به نسخه ۱۲۰٫۰٫۶۰۹۹٫۲۲۴/۲۲۵ برای ویندوز، ۱۲۰٫۰٫۶۰۹۹٫۲۳۴ برای macOS و ۱۲۰٫۰٫۶۰۹۹٫۲۲۴ برای لینوکس ارتقا دهند.

همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به‌محض در دسترس شدن، این اصلاحات را اعمال کنند.

  منابع

[۱] https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

[۲] https://cwe.mitre.org/data/definitions/125.html

[۳] https://nvd.nist.gov/vuln/detail/CVE-2024-0519

[۴] https://apa.aut.ac.ir/?p=10169

[۵] https://thehackernews.com/2024/01/zero-day-alert-update-chrome-now-to-fix.html