کرومگوگل روز پنج‌شنبه ۹ مارچ ۲۰۲۴ به‌روزرسانی‌های امنیتی را برای رفع نقص روز صفر کروم منتشر کرد که گفته بود به طور فعال در سطح اینترنت مورد بهره برداری قرار گرفته است.

این آسیب‌پذیری با شدت بالا که به‌عنوان CVE-2024-4671 ردیابی می‌شود، به‌عنوان یک مورد Use-after-free در مؤلفه Visuals توصیف شده است. این آسیب‌پذیری توسط یک محقق ناشناس در ۷ می ۲۰۲۴ گزارش شد.

اشکالات [۱]Use-after-free، که زمانی ایجاد می‌شوند که یک برنامه پس از تخصیص به یک مکان حافظه ارجاع دهد، می‌تواند منجر به پیامدهای مختلفی از خرابی تا اجرای کد دلخواه شود.

این شرکت در یک توصیه کوتاه بدون فاش کردن جزئیات بیشتر در مورد نحوه استفاده از این نقص در حملات دنیای واقعی یا هویت عوامل تهدیدکننده در پشت آن گفت[۲]: «گوگل می‌داند که یک بهره‌بردار برای CVE-2024-4671 در سطح اینترنت وجود دارد.»

با جدیدترین به‌روزرسانی، گوگل از ابتدای سال به دو آسیب‌پذیری روز صفر در کروم پرداخته است.

در اوایل ژانویه امسال، این غول فناوری مشکل دسترسی خارج از محدوده حافظه را در موتور V8 JavaScript و WebAssembly ([3]CVE-2024-0519، امتیاز  ۸/۸ در مقیاس CVSS) اصلاح کرد که می‌تواند منجر به خرابی شود.

گوگل همچنین به سه آسیب‌پذیری روز صفر دیگر که در جریان مسابقه هک Pwn2Own در ونکوور در ماه مارس فاش شده بود پرداخت:

  • CVE-2024-2886 – آسیب‌پذیری Use-after-free در WebCodecs[4]
  • CVE-2024-2887 – آسیب‌پذیری Type confusion در WebAssembly[5]
  • CVE-2024-3159 – آسیب‌پذیری دسترسی به حافظه خارج از محدوده در V8[6]

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، کروم را به نسخه ۲۰۲٫/۱۲۴٫۰٫۶۳۶۷٫۲۰۱ برای ویندوز و macOS و نسخه ۱۲۴٫۰٫۶۳۶۷٫۲۰۱ برای لینوکس ارتقا دهند.

همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به‌محض در دسترس شدن، اصلاحات را اعمال کنند.

 

منابع

[۱] https://cwe.mitre.org/data/definitions/416.html

[۲] https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_9.html

[۳] https://thehackernews.com/2024/01/zero-day-alert-update-chrome-now-to-fix.html

[۴] https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html

[۵] https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html

[۶] https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html

[۷] https://thehackernews.com/2024/05/chrome-zero-day-alert-update-your.html