هشدار روز صفر: وصله گوگل برای آسیب‌پذیری جدید در کروم – اکنون به‌روزرسانی کنید!

گوگل روز دوشنبه ۵ ژوئن ۲۰۲۳ به‌روزرسانی‌های امنیتی را برای رفع یک نقص شدید در مرورگر وب کروم خود منتشر کرد که به گفته آن‌ها به طور فعال در سطح اینترنت مورد بهره برداری قرار گرفته است.

این آسیب‌پذیری که به‌عنوان CVE-2023-3079 ردیابی می‌شود، به‌عنوان یک اشکال سردرگمی نوع در موتور جاوا اسکریپت V8 توصیف شده است. Clement Lecigne از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این مشکل در تاریخ ۱ ژوئن ۲۰۲۳ است.

بر اساس[۱] پایگاه داده آسیب‌پذیری ملی NIST (NVD)، «آشفتگی تایپ در V8 در Google Chrome قبل از نسخه ۱۱۴٫۰٫۵۷۳۵٫۱۱۰ به یک مهاجم از راه دور اجازه می‌داد تا به طور بالقوه از خرابی heap از طریق یک صفحه HTML دستکاری شده بهره‌برداری کند».

این غول فناوری، همان‌طور که معمولاً اتفاق می‌افتد، جزئیاتی از ماهیت این حملات را فاش نکرد، اما خاطرنشان کرد[۲] که “آگاه است که یک بهره‌برداری برای CVE-2023-3079 در سطح اینترنت وجود دارد.”

با انتشار جدیدترین به‌روزرسانی، گوگل از ابتدای سال، در مجموع سه آسیب‌پذیری روز صفر فعال در کروم را برطرف کرده است:

CVE-2023-2033 (امتیاز ۸/۸ در مقیاس CVSS) [3] – سردرگمی نوع در V8

CVE-2023-2136 (امتیاز ۶/۹ در مقیاس CVSS) [4] – سرریز عدد صحیح در اسکیا

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، به نسخه ۱۱۴٫۰٫۵۷۳۵٫۱۱۰ برای ویندوز و ۱۱۴٫۰٫۵۷۳۵٫۱۰۶ برای macOS و Linux را ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به‌محض در دسترس شدن، این اصلاحات را اعمال کنند.

منابع

[۱] https://nvd.nist.gov/vuln/detail/CVE-2023-3079

[۲] https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html

[۳] https://apa.aut.ac.ir/?p=9594

[۴] https://thehackernews.com/2023/04/google-chrome-hit-by-second-zero-day.html

[۵] https://thehackernews.com/2023/06/zero-day-alert-google-issues-patch-for.html