اصلاح یک آسیب‌پذیری روز صفر کروم که به طور فعال مورد بهره‌برداری قرار گرفته توسط گوگل

گوگل برای رفع مجموعه‌ای از ۹ مشکل امنیتی در مرورگر کروم خود، از جمله یک آسیب‌پذیری روز صفر جدید که در سطح اینترنت مورد بهره برداری قرار گرفته است، راه حل هایی را ارائه کرده است.

این آسیب‌پذیری با شناسه CVE CVE-2024-4947 به یک اشکال سردرگمی نوع در موتور V8 JavaScript و WebAssembly مربوط می‌شود. این توسط Vasily Berdnikov و Boris Larin محققین کاسپرسکی در ۱۳ می ۲۰۲۴ گزارش شد.

آسیب‌پذیری‌های سردرگمی نوع[۱] زمانی ایجاد می‌شوند که یک برنامه تلاش می‌کند به منبعی با نوع ناسازگار دسترسی پیدا کند. این می‌تواند تأثیرات جدی[۲] داشته باشد؛ زیرا به عوامل تهدید اجازه می‌دهد تا به حافظه خارج از محدوده دسترسی داشته باشند، باعث خرابی و اجرای کد دلخواه شوند.

این به‌روزرسانی سومین آسیب‌پذیری روز صفر است که گوگل در عرض یک هفته پس از [۳]CVE-2024-4671 و [۴]CVE-2024-4761 وصله کرده است.

همان‌طور که معمولاً اتفاق می‌افتد، هیچ جزئیات بیشتری در مورد این حملات در دسترس نیست و برای جلوگیری از بهره‌برداری بیشتر از آنها خودداری شده است. این شرکت گفت[۵]: گوگل آگاه است که یک بهره‌برداری برای CVE-2024-4947 در سطح اینترنت وجود دارد.

با CVE-2024-4947، در مجموع هفت آسیب‌پذیری روز صفر توسط گوگل در کروم از ابتدای سال برطرف شده است:

• CVE-2024-0519 – دسترسی به حافظه خارج از محدوده در V8[6]
• CVE-2024-2886 – Use-after-free در WebCodecها (نشان‌داده‌شده در Pwn2Own 2024)[7]
• CVE-2024-2887 – سردرگمی نوع در WebAssembly (در Pwn2Own 2024 نشان داده شد)
• CVE-2024-3159 – دسترسی به حافظه خارج از محدوده در V8 (در Pwn2Own 2024 نشان داده شد)[۸]
• CVE-2024-4671 – Use-after-free در ویژوال[۹]
• CVE-2024-4761 – نوشتن خارج از محدوده در V8[10]

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، کروم را به نسخه ۱۲۵٫۰٫۶۴۲۲٫۶۰ و ۶۱ برای ویندوز و macOS و نسخه ۱۲۵٫۰٫۶۴۲۲٫۶۰ برای لینوکس ارتقا دهند.

همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به‌محض در دسترس شدن، اصلاحات را اعمال کنند.

 

منابع

[۱] https://cwe.mitre.org/data/definitions/843.html

[۲] https://www.microsoft.com/en-us/security/blog/2015/06/17/understanding-type-confusion-vulnerabilities-cve-2015-0336

[۳] https://thehackernews.com/2024/05/chrome-zero-day-alert-update-your.html

[۴] https://thehackernews.com/2024/05/new-chrome-zero-day-vulnerability-cve.html

[۵] https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html

[۶] https://thehackernews.com/2024/01/zero-day-alert-update-chrome-now-to-fix.html

[۷] https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop_26.html

[۸] https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html

[۹] https://thehackernews.com/2024/05/chrome-zero-day-alert-update-your.html

[۱۰] https://thehackernews.com/2024/05/new-chrome-zero-day-vulnerability-cve.html

[۱۱] https://thehackernews.com/2024/05/google-patches-yet-another-actively.html