انتشار به‌روزرسانی فوری برای مرورگر Chrome توسط گوگل به‌منظور وصله کردن دو باگ‌ روز صفر بهره‌برداری شده

Chrome

گوگل روز پنجشنبه ۲۵ اکتبر ۲۰۲۱ یک به‌روزرسانی اضطراری را برای مرورگر وب chrome خود ارائه کرد که شامل رفع دو آسیب‌پذیری روز صفر است که می‌گوید به‌طور فعال در سطح اینترنت مورد بهره‌برداری قرار می‌گیرند.

این نقاط ضعف که به‌عنوان CVE-2021-38000 و CVE-2021-38003 ردیابی می‌شوند، مربوط به اعتبار سنجی ناکافیِ ورودی غیرقابل‌اعتماد در یک ویژگی به نام Intent و همچنین اجرای نامناسب در V8 JavaScript و موتور WebAssembly هستند. گروه تحلیل تهدید (TAG) این غول اینترنتی به ترتیب در تاریخ ۱۵ سپتامبر ۲۰۲۱ و ۲۶ اکتبر ۲۰۲۱ این دو نقص را کشف و گزارش کرده است.

این شرکت در توصیه‌ای بدون پرداختن به جزئیات فنی درباره‌ی نحوه استفاده از این دو آسیب‌پذیری در حملات یا عوامل تهدیدی که ممکن است به آن اشاره کرد، گفت[۱]: «گوگل می‌داند که اکسپلویت‌های CVE-2021-38000 و CVE-2021-38003 در سطح اینترنت وجود دارند».

همچنین به‌عنوان بخشی از این به‌روزرسانی، یک آسیب‌پذیری[۲] use-after-free در مؤلفه‌ی Web Transport (CVE-2021-38002)، که برای اولین بار در مسابقه Tianfu Cup که اوایل ماه جاری در چین برگزار شد[۳]، وصله شد. با این وصله‌ها، گوگل رکورد ۱۶ آسیب‌پذیری روز صفر را در مرورگر وب خود از ابتدای سال داشته است:

CVE-2021-21148 – Heap buffer overflow in V8
CVE-2021-21166 – Object recycle issue in audio
CVE-2021-21193 – Use-after-free in Blink
CVE-2021-21206 – Use-after-free in Blink
CVE-2021-21220 – Insufficient validation of untrusted input in V8 for x86_64
CVE-2021-21224 – Type confusion in V8
CVE-2021-30551 – Type confusion in V8
CVE-2021-30554 – Use-after-free in WebGL
CVE-2021-30563 – Type confusion in V8
CVE-2021-30632 – Out of bounds write in V8
CVE-2021-30633 – Use-after-free in Indexed DB API
CVE-2021-37973 – Use-after-free in Portals
CVE-2021-37975 – Use-after-free in V8
CVE-2021-37976 – Information leak in core