Chrome

گوگل روز پنجشنبه ۳۰ سپتامبر ۲۰۲۱ اصلاحات فوری امنیتی را برای مرورگر کروم خود اعمال کرد، ازجمله چند نقطه‌ضعف امنیتی جدید که به گفته‌ی این شرکت در سطح اینترنت مورد بهره‌برداری قرار گرفتند و آن‌ها را چهارمین و پنجمین آسیب‌پذیری‌های روز صفر فعال در این ماه معرفی کرد.

این آسیب‌پذیری‌هایی که به‌عنوان CVE-2021-37975 و CVE-2021-37976 تعیین‌شده‌اند[۱]، درمجموع چهار وصله هستند و مربوط به نقص use-after-free در موتور V8 JavaScript و WebAssembly و همچنین نشت اطلاعات در هسته می‌شوند[۲].

همان‌طور که معمولاً اتفاق می‌افتد، این غول فناوری از به اشتراک گذاشتن جزئیات بیشتر در مورد نحوه استفاده از این آسیب‌پذیری‌های روز صفر در حملات تا زمانی که اکثر کاربران با این وصله‌ها به‌روز نشوند، خودداری کرده است، اما خاطرنشان کرد که ” بهره‌بردارهای CVE-2021-37975 و CVE-2021-37976 در سطح اینترنت وجود دارند.”

یک محقق ناشناس آسیب‌پذیری CVE-2021-37975 را گزارش کرده است. کشف CVE-2021-37976، از سوی دیگر، توسط Clément Lecigne از گروه تجزیه‌وتحلیل تهدید گوگل انجام شد که همچنین CVE-2021-37973، یکی دیگر از آسیب‌پذیری‌های فعال use-after-free در API Portals Chrome که مورد بهره‌برداری قرارگرفته بود را گزارش کرده بود[۳]. هفته گذشته، این احتمال مطرح شد که این دو نقص ممکن است به‌عنوان بخشی از یک زنجیره بهره‌برداری برای اجرای کد دلخواه به‌هم‌پیوسته باشند.

با این آخرین به‌روزرسانی، گوگل از ابتدای سال تاکنون ۱۴ آسیب‌پذیری روز صفر را در مرورگر وب خود برطرف کرده است.

به کاربران Chrome توصیه می‌شود برای کاهش خطرات احتمالی بهره‌برداری فعال، مرورگر خود را به آخرین نسخه (۹۴٫۰٫۴۶۰۶٫۷۱) برای ویندوز، Mac و لینوکس به‌روزرسانی کنند.

منابع

[۱] https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html

[۲] https://cwe.mitre.org/data/definitions/416.html

[۳] https://thehackernews.com/2021/09/urgent-chrome-update-released-to-patch.html

[۴] https://thehackernews.com/2021/09/update-google-chrome-asap-to-patch-2.html