کرومگوگل فاش کرده است که یک نقص امنیتی که به‌عنوان بخشی از به‌روزرسانی نرم‌افزاری که هفته گذشته در مرورگر کروم آن منتشر شد[۱]، اصلاح شده بود، در سطح اینترنت مورد بهره‌برداری فعال قرار گرفته است.

این آسیب‌پذیری که به‌عنوان CVE-2024-7965 ردیابی می‌شود، به‌عنوان یک اشکال پیاده‌سازی نامناسب در موتور V8 JavaScript و WebAssembly توصیف شده است.

بر اساس توضیحاتی[۲] درباره این اشکال در پایگاه داده آسیب‌پذیری ملی NIST (NVD)، «پیاده‌سازی نامناسب در V8 در گوگل کروم قبل از ۱۲۸٫۰٫۶۶۱۳٫۸۴ به یک مهاجم راه دور اجازه می‌داد تا به‌طور بالقوه از خرابی heap از طریق یک صفحه HTML دستکاری‌شده بهره‌برداری کند».

یک محقق امنیتی که با نام مستعار آنلاین TheDog استفاده می‌کند، در تاریخ ۳۰ ژوئیه ۲۰۲۴ این نقص را کشف و گزارش کرده است و پاداشی معادل ۱۱۰۰۰ دلار برای آن‌ها به همراه دارد.

جزئیات بیشتری در مورد ماهیت حملاتی که از این نقص استفاده می‌کنند یا هویت عوامل تهدیدکننده‌ای که ممکن است از آن استفاده کنند، منتشر نشده است. بااین‌حال، این غول فناوری اذعان کرد که از وجود یک بهره‌بردار برای CVE-2024-7965 آگاه است[۳].

گوگل همچنین گفت، “بهره‌برداری در سطح اینترنت از CVE-2024-7965 پس‌ازاین انتشار گزارش انجام شد. بااین‌حال، در حال حاضر مشخص نیست که آیا این نقص روز صفر قبل از افشای آن در هفته گذشته تسلیحاتی شده است یا خیر.”

گوگل از ابتدای سال ۲۰۲۴ تاکنون به ۹ آسیب‌پذیری روز صفر در کروم پرداخته است، ازجمله سه مورد که در Pwn2Own 2024 نشان داده شد:

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، کروم را به نسخه ۱۲۸٫۰٫۶۶۱۳٫۸۴/.۸۵ برای Windows و macOS و نسخه ۱۲۸٫۰٫۶۶۱۳٫۸۴ برای Linux ارتقا دهند.

منابع

[۱] https://thehackernews.com/2024/08/google-fixes-high-severity-chrome-flaw.html

[۲] https://nvd.nist.gov/vuln/detail/CVE-2024-7965

[۳] https://chromereleases.googleblog.com/2024/08/stable-channel-update-for-desktop_21.html

[۴] https://thehackernews.com/2024/08/google-warns-of-cve-2024-7965-chrome.html