انتشار به‌روزرسانی فوری کروم برای رفع آسیب‌پذیری روز صفر مورد بهره‌برداری فعال توسط گوگل

گوگل روز جمعه ۱۴ آوریل ۲۰۲۳ به‌روزرسانی‌های خارج از باند را برای رفع نقص روز صفر در مرورگر وب کروم خود منتشر کرد که این اولین باگ است که از ابتدای سال تاکنون برطرف شده است.

این آسیب‌پذیری با شدت بالا که به‌عنوان CVE-2023-2033 دنبال می‌شود، به‌عنوان یک مشکل سردرگمی نوع[۱] در موتور جاوا اسکریپت V8 توصیف شده است. Clement Lecigne از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این مشکل در ۱۱ آوریل ۲۰۲۳ است.

بر اساس پایگاه داده[۲] آسیب‌پذیری ملی NIST (NVD)، «آشفتگی تایپ در V8 در گوگل کروم قبل از نسخه ۱۱۲٫۰٫۵۶۱۵٫۱۲۱ به یک مهاجم از راه دور اجازه می‌داد تا به‌طور بالقوه از خرابی heap از طریق یک صفحه HTML دستکاری‌شده سوءاستفاده کند».

این غول فناوری اذعان کرد[۳] که “یک بهره‌بردار برای CVE-2023-2033 در سطح اینترنت وجود دارد”، اما از اشتراک‌گذاری مشخصات فنی اضافی یا شاخص‌های سازش (IoCs) برای جلوگیری از بهره‌برداری بیشتر توسط عوامل تهدید خودداری کرد.

همچنین به نظر می‌رسد که CVE-2023-2033 شباهت‌هایی با [۴]CVE-2022-1096، [۵]CVE-2022-1364، CVE-2022-3723[6] و [۷]CVE-2022-4262 دارد – چهار نقص دیگر در V8 که به‌طور فعال مورد بهره‌برداری قرارگرفته‌اند و توسط گوگل در سال ۲۰۲۲ برطرف شدند.

گوگل سال گذشته درمجموع ۹ آسیب‌پذیری روز صفر در کروم را برطرف کرده است. این توسعه چند روز پس‌ازآن صورت می‌گیرد که Citizen Lab و مایکروسافت از بهره برداری مشتریان یک فروشنده نرم‌افزارهای جاسوسی به نام QuaDream برای هدف قرار دادن روزنامه‌نگاران، چهره‌های اپوزیسیون سیاسی و یک کارگر سازمان‌های غیردولتی در سال ۲۰۲۱ از یک نقص وصله شده در Apple iOS رونمایی کردند[۸].

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، نسخه ۱۱۲٫۰٫۵۶۱۵٫۱۲۱ را برای Windows، macOS و Linux ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به‌محض در دسترس شدن، اصلاحات موردنظر را اعمال کنند.

منابع

[۱] https://cwe.mitre.org/data/definitions/843.html

[۲] https://nvd.nist.gov/vuln/detail/CVE-2023-2033

[۳] https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

[۴] https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html

[۵] https://apa.aut.ac.ir/?p=8936

[۶] https://apa.aut.ac.ir/?p=9287

[۷] https://apa.aut.ac.ir/?p=9344

[۸] https://thehackernews.com/2023/04/israel-based-spyware-firm-quadream.html

[۹] https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html