غول جستجوی گوگل روز جمعه ۲ دسامبر ۲۰۲۲ یک بهروزرسانی امنیتی خارج از باند را برای رفع یک نقص جدید روز صفر در مرورگر وب کروم خود منتشر کرد.
نقص با شدت بالا که بهعنوان CVE-2022-4262 ردیابی میشود [۱][۱]، مربوط به یک اشکال سردرگمی نوع در موتور جاوا اسکریپت V8 است. Clement Lecigne از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این مشکل در تاریخ ۲۹ نوامبر ۲۰۲۲ است.
آسیبپذیریهای سردرگمی تایپ میتوانند توسط عوامل تهدید برای انجام دسترسی حافظه خارج از محدوده مورداستفاده قرار گیرند یا منجر به خرابی و اجرای کد دلخواه شوند.
با توجه به پایگاه داده آسیبپذیری ملی NIST، این نقص به یک مهاجم از راه دور اجازه میدهد [۲][۲] تا بهطور بالقوه از خرابی پشتهای از طریق یک صفحه HTML دستکاری شده بهرهبرداری کند.
گوگل بهرهبرداری فعال از این آسیبپذیری را تائید کرد، اما برای جلوگیری از سوءاستفاده بیشتر، از اشتراکگذاری جزئیات بیشتر خودداری کرد.
CVE-2022-4262 چهارمین نقص اشتباهی است که بهطور فعال مورد بهرهبرداری قرار گرفته است که گوگل از ابتدای سال به آن پرداخته است. همچنین این نهمین نقص روز صفر در حمله مهاجمان کروم در سطح اینترنت در سال ۲۰۲۲ است:
- CVE-2022-0609– Use-after-free in Animation
- CVE-2022-1096– Type confusion in V8
- CVE-2022-1364– Type confusion in V8
- CVE-2022-2294– Heap buffer overflow in WebRTC
- CVE-2022-2856– Insufficient validation of untrusted input in Intents
- CVE-2022-3075– Insufficient data validation in Mojo
- CVE-2022-3723– Type confusion in V8
- CVE-2022-4135– Heap buffer overflow in GPU
به کاربران توصیه میشود برای کاهش تهدیدات احتمالی به نسخه ۱۰۸٫۰٫۵۳۵۹٫۹۴ برای macOS و Linux و ۱۰۸٫۰٫۵۳۵۹٫۹۴ و ۱۰۸٫۰٫۵۳۵۹٫۹۵ برای ویندوز ارتقا دهند.
همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه میشود که بهمحض در دسترس شدن، اصلاحات موردنظر را اعمال کنند.
منابع
[۱] https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html
[۲] https://nvd.nist.gov/vuln/detail/CVE-2022-4262
[۳] https://thehackernews.com/2022/12/google-rolls-out-new-chrome-browser.html
ثبت ديدگاه