Google Chrome را در اسرع وقت به روز کنید تا ۲ نقص جدید فعال روز صفر را وصله کنید.

گوگل روز پنجشنبه ۳۰ سپتامبر ۲۰۲۱ اصلاحات فوری امنیتی را برای مرورگر کروم خود اعمال کرد، ازجمله چند نقطه‌ضعف امنیتی جدید که به گفته‌ی این شرکت در سطح اینترنت مورد بهره‌برداری قرار گرفتند و آن‌ها را چهارمین و پنجمین آسیب‌پذیری‌های روز صفر فعال در این ماه معرفی کرد.

این آسیب‌پذیری‌هایی که به‌عنوان CVE-2021-37975 و CVE-2021-37976 تعیین‌شده‌اند[۱]، درمجموع چهار وصله هستند و مربوط به نقص use-after-free در موتور V8 JavaScript و WebAssembly و همچنین نشت اطلاعات در هسته می‌شوند[۲].

همان‌طور که معمولاً اتفاق می‌افتد، این غول فناوری از به اشتراک گذاشتن جزئیات بیشتر در مورد نحوه استفاده از این آسیب‌پذیری‌های روز صفر در حملات تا زمانی که اکثر کاربران با این وصله‌ها به‌روز نشوند، خودداری کرده است، اما خاطرنشان کرد که ” بهره‌بردارهای CVE-2021-37975 و CVE-2021-37976 در سطح اینترنت وجود دارند.”

یک محقق ناشناس آسیب‌پذیری CVE-2021-37975 را گزارش کرده است. کشف CVE-2021-37976، از سوی دیگر، توسط Clément Lecigne از گروه تجزیه‌وتحلیل تهدید گوگل انجام شد که همچنین CVE-2021-37973، یکی دیگر از آسیب‌پذیری‌های فعال use-after-free در API Portals Chrome که مورد بهره‌برداری قرارگرفته بود را گزارش کرده بود[۳]. هفته گذشته، این احتمال مطرح شد که این دو نقص ممکن است به‌عنوان بخشی از یک زنجیره بهره‌برداری برای اجرای کد دلخواه به‌هم‌پیوسته باشند.

با این آخرین به‌روزرسانی، گوگل از ابتدای سال تاکنون ۱۴ آسیب‌پذیری روز صفر را در مرورگر وب خود برطرف کرده است.

• CVE-2021-21148 – Heap buffer overflow in V8
• CVE-2021-21166 – Object recycle issue in audio
• CVE-2021-21193 – Use-after-free in Blink
• CVE-2021-21206 – Use-after-free in Blink
• CVE-2021-21220 – Insufficient validation of untrusted input in V8 for x86_64
• CVE-2021-21224 – Type confusion in V8
• CVE-2021-30551 – Type confusion in V8
• CVE-2021-30554 – Use-after-free in WebGL
• CVE-2021-30563 – Type confusion in V8
• CVE-2021-30632 – Out of bounds write in V8
• CVE-2021-30633 – Use-after-free in Indexed DB API
• CVE-2021-37973 – Use-after-free in Portals

به کاربران Chrome توصیه می‌شود برای کاهش خطرات احتمالی بهره‌برداری فعال، مرورگر خود را به آخرین نسخه (۹۴٫۰٫۴۶۰۶٫۷۱) برای ویندوز، Mac و لینوکس به‌روزرسانی کنند.

منابع

[۱] https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html

[۲] https://cwe.mitre.org/data/definitions/416.html

[۳] https://thehackernews.com/2021/09/urgent-chrome-update-released-to-patch.html

[۴] https://thehackernews.com/2021/09/update-google-chrome-asap-to-patch-2.html