گوگل به علت یک نقص روز صفر دیگر که بهطور فعال در مرورگر Chrome مورد بهرهبرداری قرار گرفته است، دومین وصله خود را برای این مرورگر در عرض یک ماه منتشر کرد.
این سازنده مرورگر در روز جمعه ۱۲ مارس ۲۰۲۱ نسخهی ۸۹٫۰٫۴۳۸۹٫۹۰ را برای ویندوز، مک و لینوکس منتشر کرده است که انتظار میرود طی روزها یا هفتههای آینده در دسترس همه کاربران قرار گیرد.
درحالیکه این بهروزرسانی شامل پنج مورد رفع اشکال امنیتی است، مهمترین نقصی که گوگل برطرف کرده مربوط به یک آسیبپذیری use after free در موتور رندر Blink آن است[۱]. این اشکال با عنوان CVE-2021-21193 نامگذاری شده است.
جزییات مربوط به این نقص کم است و در تاریخ ۹ مارس ۲۰۲۱ توسط یک محقق ناشناس به گوگل گزارش شده است.
همانطور که معمولاً در مورد نقصهای بهرهبرداری شده بهطور فعال مشاهده میشود، گوگل بیانیهای صادر کرد و اذعان کرد که بهرهبرداری از CVE-2021-21193 وجود دارد اما از به اشتراک گذاشتن اطلاعات اضافی خودداری کرد تا اینکه اکثر کاربران با وصلههای موردنیاز بهروز شوند و از ایجاد بهرهبرداری از این نقص روز صفر توسط مجرمان سایبری جلوگیری شود.
مدیر برنامه فنی مرورگر Chrome یعنی Prudhvikumar Bommana در یک پست وبلاگ در این مورد اظهار داشت[۲]: “گوگل از گزارشهایی که وجود بهرهبرداری از CVE-2021-21193 در سطح اینترنت را بیان میکنند، آگاه است.”
با این بهروزرسانی، گوگل از ابتدای سال تاکنون سه نقص روز صفر را در Chrome برطرف کرده است.
در اوایل این ماه، این شرکت وصلهای را برای object lifecycle issue in audio با عنوان CVE-2021-21166 منتشر کرد که بهطور فعال مورد بهرهبرداری قرار گرفته بود[۳]. سپس در تاریخ ۴ فوریه ۲۰۲۱، این شرکت یکی دیگر از نقصهای سرریز بافر انباشتهی فعال (CVE-2021-21148) در موتور رندر V8 JavaScript خود را برطرف کرد.
کاربران Chrome میتوانند برای کاهش خطرات مرتبط با نقص، مرورگر خود را به آخرین نسخه بهروز کنند.
منابع
[۱] https://cwe.mitre.org/data/definitions/416.html
[۲] https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html
[۳] https://apa.aut.ac.ir/?p=7857
[۴] https://thehackernews.com/2021/03/another-google-chrome-0-day-bug-found.html
ثبت ديدگاه