نیاز به به‌روزرسانی مرورگر گوگل کروم به‌منظور وصله کردن بهره‌بردار روز صفر جدید

گوگل روز دوشنبه ۴ جولای ۲۰۲۲ به‌روزرسانی‌های امنیتی را برای رفع یک آسیب‌پذیری شدید روز صفر در مرورگر وب کروم خود ارسال کرد که گفته بود در سطح اینترنت مورد بهره‌برداری قرار می‌گیرد.

نقصی که به‌عنوان CVE-2022-2294 ردیابی می‌شود[۱]، مربوط به یک نقص سرریز کپه^(۱) در مؤلفه WebRTC است[۲] که بدون نیاز به نصب افزونه‌ها یا دانلود برنامه‌های بومی، قابلیت‌های ارتباط صوتی و تصویری بلادرنگ را در مرورگرها فراهم می‌کند.

سرریزهای^(۲) بافر کپه، که به آن overrun کپه یا خورد شدن^(۳) کپه نیز گفته می‌شود، زمانی رخ می‌دهد که داده‌ها در ناحیه کپه حافظه[۳] بازنویسی می‌شوند و منجر به اجرای کد دلخواه یا وضعیت ممانعت از سرویس^(۴) می‌شود.

MITER دراین‌باره توضیح می‌دهد[۴]: «سرریزهای مبتنی بر کپه می‌توانند برای بازنویسی نشانگرهای تابعی که ممکن است در حافظه زندگی کند، استفاده شود و آن را به کد مهاجم نشان دهد. زمانی که پیامد آن اجرای کد دلخواه باشد، اغلب می‌توان از آن برای براندازی هر سرویس امنیتی دیگری استفاده کرد.»

Jan Vojtesek از تیم Avast Threat Intelligence این نقص را در ۱ ژوئیه ۲۰۲۲ کشف و گزارش کرد. شایان‌ذکر است که این اشکال بر نسخه اندروید کروم نیز تأثیر می‌گذارد [۵].

همان‌طور که معمولاً در مورد بهره‌برداری روز صفر اتفاق می‌افتد، جزئیات مربوط به نقص و همچنین سایر مشخصات مربوط به کمپین برای جلوگیری از بهره‌برداری بیشتر در سطح اینترنت و تا زمانی که تعداد قابل‌توجهی از کاربران با اصلاح به‌روز شوند، پنهان شده است.

CVE-2022-2294 همچنین حل‌وفصل چهارمین آسیب‌پذیری روز صفر در کروم را از ابتدای سال نشان می‌دهد:

CVE-2022-0609 – Use-after-free در انیمیشن[۶]

CVE-2022-1096 – نوع سردرگمی در V8 [7]

CVE-2022-1364 – نوع سردرگمی در V8 [8]

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی به نسخه ۱۰۳٫۰٫۵۰۶۰٫۱۱۴ برای Windows ،macOS و Linux و نسخه ۱۰۳٫۰٫۵۰۶۰٫۷۱ برای اندروید به‌روزرسانی کنند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi توصیه می‌شود که به‌محض در دسترس شدن، اصلاحات مربوطه را اعمال کنند.

منابع

[۱] https://chromereleases.googleblog.com/2022/07/stable-channel-update-for-desktop.html

[۲] https://en.wikipedia.org/wiki/WebRTC

[۳] https://en.wikipedia.org/wiki/Memory_management#Manual_memory_management

[۴] https://cwe.mitre.org/data/definitions/122.html

[۵] https://chromereleases.googleblog.com/2022/07/chrome-for-android-update.html

[۶] https://apa.aut.ac.ir/?p=8769

[۷] https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html

[۸] https://apa.aut.ac.ir/?p=8936

[۹] https://thehackernews.com/2022/07/update-google-chrome-browser-to-patch.html

(۱) heap
(2) overflows
(3) smashing
(4) denial-of-service (DoS)