گوگل پنج آسیبپذیری امنیتی را در مرورگر وب Chrome خود برطرف کرده است، ازجمله یکی که میگوید در سطح اینترنت مورد بهرهبرداری قرار گرفته است و آن را به هفدهمین نقطه ضعفی[۱] تبدیل میکند که از ابتدای سال تاکنون فاش شده است.
این نقص که بهعنوان CVE-2021-4102 ردیابی میشود[۲]، به یک باگ use-after-free در موتور V8 JavaScript و WebAssembly مربوط میشود[۳] که میتواند پیامدهای شدیدی از تخریب دادههای معتبر گرفته تا اجرای کد دلخواه داشته باشد. یک محقق ناشناس مسئول کشف و گزارش این نقص است.
مشخص نیست که چگونه از این ضعف در حملات دنیای واقعی سوءاستفاده میشود، اما این غول اینترنتی بیانیه کوتاهی دراینباره منتشر کرد و گفت: “از گزارشهایی مبنی بر وجود یک بهرهبرداری برای CVE-2021-4102 در سطح اینترنت آگاه است.” این به این منظور انجام میشود تا اطمینان حاصل شود که اکثر کاربران با یک اصلاح بهروز میشوند و از بهرهبرداری بیشتر توسط سایر عوامل تهدید جلوگیری میکنند.
CVE-2021-4102 دومین آسیبپذیری use-after-free در V8 است که این شرکت در کمتر از سه ماه پس از گزارشهای مربوط به بهرهبرداری فعال، آن را اصلاح کرده است. آسیبپذیری قبلی یعنی CVE-2021-37975 توسط یک محقق ناشناس گزارش شده بود[۴] در حال حاضر وصل شده است و بهروزرسانی آن در ۳۰ سپتامبر منتشر شد. بلافاصله مشخص نیست که آیا این دو نقص ارتباطی با یکدیگر دارند یا خیر.
با آخرین بهروزرسانی، گوگل تنها در سال جاری به رکورد ۱۷ آسیبپذیری روز صفر در کروم پرداخته است:
- CVE-2021-21148– Heap buffer overflow in V8
- CVE-2021-21166– Object recycle issue in audio
- CVE-2021-21193– Use-after-free in Blink
- CVE-2021-21206– Use-after-free in Blink
- CVE-2021-21220– Insufficient validation of untrusted input in V8 for x86_64
- CVE-2021-21224– Type confusion in V8
- CVE-2021-30551– Type confusion in V8
- CVE-2021-30554– Use-after-free in WebGL
- CVE-2021-30563– Type confusion in V8
- CVE-2021-30632– Out of bounds write in V8
- CVE-2021-30633– Use-after-free in Indexed DB API
- CVE-2021-37973– Use-after-free in Portals
- CVE-2021-37975– Use-after-free in V8
- CVE-2021-37976– Information leak in core
- CVE-2021-38000– Insufficient validation of untrusted input in Intents
- CVE-2021-38003– Inappropriate implementation in V8
به کاربران Chrome توصیه میشود با رفتن به بخش تنظیمات، مرورگر خود را به آخرین نسخه (۹۶٫۰٫۴۶۶۴٫۱۱۰) برای Windows، Mac و Linux بهروزرسانی کنند تا خطر احتمالی بهرهبرداری فعال را کاهش دهند.
منابع
[۱] https://apa.aut.ac.ir/?p=8447
[۲] https://chromereleases.googleblog.com/2021/12/stable-channel-update-for-desktop_13.html
[۳] https://cwe.mitre.org/data/definitions/416.html
[۴] https://apa.aut.ac.ir/?p=8383
[۵] https://thehackernews.com/2021/12/update-google-chrome-to-patch-new-zero.html
ثبت ديدگاه