Google Chrome را به‌روزرسانی کنید تا یک بهره‌بردار جدید روز صفر را وصله کنید.

گوگل پنج آسیب‌پذیری امنیتی را در مرورگر وب Chrome خود برطرف کرده است، ازجمله یکی که می‌گوید در سطح اینترنت مورد بهره‌برداری قرار گرفته است و آن را به هفدهمین نقطه ضعفی[۱] تبدیل می‌کند که از ابتدای سال تاکنون فاش شده است.

این نقص که به‌عنوان CVE-2021-4102 ردیابی می‌شود[۲]، به یک باگ use-after-free در موتور V8 JavaScript و WebAssembly مربوط می‌شود[۳] که می‌تواند پیامدهای شدیدی از تخریب داده‌های معتبر گرفته تا اجرای کد دلخواه داشته باشد. یک محقق ناشناس مسئول کشف و گزارش این نقص است.

مشخص نیست که چگونه از این ضعف در حملات دنیای واقعی سوءاستفاده می‌شود، اما این غول اینترنتی بیانیه کوتاهی دراین‌باره منتشر کرد و گفت: “از گزارش‌هایی مبنی بر وجود یک بهره‌برداری برای CVE-2021-4102 در سطح اینترنت آگاه است.” این به این منظور انجام می‌شود تا اطمینان حاصل شود که اکثر کاربران با یک اصلاح به‌روز می‌شوند و از بهره‌برداری بیشتر توسط سایر عوامل تهدید جلوگیری می‌کنند.

CVE-2021-4102 دومین آسیب‌پذیری use-after-free در V8 است که این شرکت در کمتر از سه ماه پس از گزارش‌های مربوط به بهره‌برداری فعال، آن را اصلاح کرده است. آسیب‌پذیری قبلی یعنی CVE-2021-37975 توسط یک محقق ناشناس گزارش شده بود[۴] در حال حاضر وصل شده است و به‌روزرسانی آن در ۳۰ سپتامبر منتشر شد. بلافاصله مشخص نیست که آیا این دو نقص ارتباطی با یکدیگر دارند یا خیر.

با آخرین به‌روزرسانی، گوگل تنها در سال جاری به رکورد ۱۷ آسیب‌پذیری روز صفر در کروم پرداخته است:

• CVE-2021-21148– Heap buffer overflow in V8
• CVE-2021-21166– Object recycle issue in audio
• CVE-2021-21193– Use-after-free in Blink
• CVE-2021-21206– Use-after-free in Blink
• CVE-2021-21220– Insufficient validation of untrusted input in V8 for x86_64
• CVE-2021-21224– Type confusion in V8
• CVE-2021-30551– Type confusion in V8
• CVE-2021-30554– Use-after-free in WebGL
• CVE-2021-30563– Type confusion in V8
• CVE-2021-30632– Out of bounds write in V8
• CVE-2021-30633– Use-after-free in Indexed DB API
• CVE-2021-37973– Use-after-free in Portals
• CVE-2021-37975– Use-after-free in V8
• CVE-2021-37976– Information leak in core
• CVE-2021-38000– Insufficient validation of untrusted input in Intents
• CVE-2021-38003– Inappropriate implementation in V8

به کاربران Chrome توصیه می‌شود با رفتن به بخش تنظیمات، مرورگر خود را به آخرین نسخه (۹۶٫۰٫۴۶۶۴٫۱۱۰) برای Windows، Mac و Linux به‌روزرسانی کنند تا خطر احتمالی بهره‌برداری فعال را کاهش دهند.

منابع

[۱] https://apa.aut.ac.ir/?p=8447

[۲] https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html

[۳] https://cwe.mitre.org/data/definitions/416.html

[۴] https://apa.aut.ac.ir/?p=8383

[۵] https://thehackernews.com/2021/12/update-google-chrome-to-patch-new-zero.html