Chrome

گوگل روز جمعه ۲۴ سپتامبر ۲۰۲۱ یک وصله امنیتی اضطراری را برای مرورگر وب Chrome خود ارائه کرد تا یک نقص امنیتی را که به‌عنوان یک بهره‌بردار در سطح اینترنت شناخته می‌شود برطرف کند.

این آسیب‌پذیری که به‌عنوان CVE-2021-37973 شناخته می‌شود[۱]، به‌عنوان یک use after free در Portals API در نظر گرفته شده است[۲و۳] که یک سیستم navigation صفحات وب است که صفحه را قادر می‌سازد صفحه دیگری را به‌عنوان یک صفحه‌ی داخلی نشان دهد و “یک انتقال یکپارچه به حالت جدید را انجام دهد که صفحه‌ای که قبلاً به‌عنوان صفحه‌ی داخلی بود به یک سند سطح بالا تبدیل شود.”

Clément Lecigne از Google Threat Analysis Group (TAG) اعتبار این گزارش را به خود اختصاص داده است. جزئیات اضافی مربوط به این نقص با توجه به بهره‌برداری فعال از آن فاش نشده است و به اکثر کاربران اجازه می‌دهد از این وصله استفاده کنند، اما این غول اینترنتی در این مورد گفت که “آگاه است که یک بهره‌برداری برای CVE-2021-37973 در سطح اینترنت وجود دارد.”

این به‌روزرسانی یک روز پس از اقدام اپل برای بستن یک حفره امنیتی فعال به نام CVE-2021-30869 در نسخه‌های قدیمی iOS و macOS  انجام می‌شود[۴] که TAG عنوان کرد “همراه با یک اجرای کد از راه دورN-day  که WebKit را هدف قرار داد، مورداستفاده قرار می‌گیرد.” با انتشار وصله برای این نقص، گوگل از ابتدای سال ۲۰۲۱ درمجموع ۱۲ نقص روز صفر در Chrome را برطرف کرده است[۵]:

به کاربران Chrome توصیه می‌شود برای کاهش خطرات مربوط به این نقص، به بخش تنظیمات رفته . نسخه‌ی مرورگر خود را به آخرین نسخه (۹۴٫۰٫۴۶۰۶٫۶۱) برای Windows ، Mac و Linux به‌روزرسانی کنند.

 

منابع

[۱] https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_24.html

[۲] https://cwe.mitre.org/data/definitions/416.html

[۳] https://web.dev/hands-on-portals

[۴] https://thehackernews.com/2021/09/urgent-apple-ios-and-macos-updates.html

[۵] https://apa.aut.ac.ir/?p=8316

[۶] https://thehackernews.com/2021/09/new-malware-targets-windows-subsystem.html