مرورگر کروم خود را هرچه سریع‌تر به‌روزرسانی کنید تا یک نقص با بهره بردار عمومی را وصله کنید.

گوگل در روز سه‌شنبه ۲۰ آوریل ۲۰۲۱ یک به‌روزرسانی را برای مرورگر وب کروم برای ویندوز، مک و لینوکس منتشر کرد، تا در مجموع هفت مشکل امنیتی از جمله یک نقص که بهره بردار آن در سطح اینترنت وجود دارد را وصله کند.

این نقص با عنوان CVE-2021-21224 شناسایی می‌شود که یک نوع آسیب‌پذیری از نوع confusion در موتور جاوا اسکریپت منبع باز V8 است که توسط محقق امنیتی خوزه مارتینز در ۵ آوریل ۲۰۲۱ به این شرکت گزارش شد.

به گفته محقق امنیتی لی کائو[۱]، این نقص [۱۱۹۵۷۷۷] هنگام انجام تبدیل نوع داده صحیح ایجاد می‌شود، در نتیجه یک شرایط خارج از مرز وجود دارد که می تواند برای دستیابی به خواندن یا نوشتن اولیه حافظه دلخواه استفاده شود[۲].

مدیر برنامه فنی کروم، سرینیواس سیستا در یک پست وبلاگ در این باره گفت[۳]: “گوگل از گزارش‌های بهره‌برداری از CVE-2021-21224 در سطح اینترنت، آگاه است.”

این به‌روزرسانی پس از انتشار[۴] کد اثبات ادعای (PoC) بهره‌برداری از این نقص توسط یک محقق به نام “frust” در ۱۴ آوریل، منتشر شد. با توجه به اینکه این نقص در کد منبع V8 مطرح شده است[۵]، همه مرورگرهایی که به آن متکی هستند مانند Chrome ،Microsoft Edge ،Brave ،Vivaldi و Opera درگیر هستند.

فاصله یک هفته‌ای تا انتشار این وصله به این معنی بود که این مرورگرها در برابر حملات آسیب‌پذیر بودند تا اینکه وصله‌های منتشر شده در مخزن کد منبع باز به عنوان یک به روزرسانی پایدار منتشر شدند.

به روزرسانی جدید این غول جستجوگر هفته گذشته با وصله‌هایی برای دو آسیب‌پذیری امنیتی CVE-2021-21206 و CVE-2021-21220 منتشر شد[۷] که آخرین مورد در مسابقه هک Pwn2Own 2021 در اوایل این ماه اثبات شده بود[۸].

انتظار می‌رود کروم نسخه ۹۰٫۰٫۴۴۳۰٫۸۵ در روزهای آینده روانه بازار شود. کاربران می‌توانند برای کاهش خطر حملات مرورگرهای خود را به‌روزرسانی کنند.

منابع

[۱] https://iamelli0t.github.io/2021/04/20/Chromium-Issue-1196683-1195777.html#rca-of-issue-1195777

[۲] https://bugs.chromium.org/p/chromium/issues/detail?id=1195777

[۳] https://chromereleases.googleblog.com/2021/04/stable-channel-update-for-desktop_20.html

[۴] https://noahblog.360.cn/chromium_v8_remote_code_execution_vulnerability_analysis/

[۵] https://chromium-review.googlesource.com/c/v8/v8/+/2826114/3/src/compiler/representation-change.cc

[۶] https://groups.google.com/a/chromium.org/g/security-dev/c/fbiuFbW07vI

[۷] https://thehackernews.com/2021/04/2-new-chrome-0-days-under-attack-update.html

[۸] https://geekprank.com/hacker

[۹] https://thehackernews.com/2021/04/update-your-chrome-browser-immediately.html