فهرست مطالب
گوگل برای رفع آسیبپذیری روزصفر دیگر در کروم بهروزرسانیهای اضطراری منتشر کرده است. این هشتمین آسیبپذیری است که گوگل از آغاز سال رفع کرده است.
بهگزارش تکناک، گوگل بهمنظور رفع آسیبپذیری روزصفر (Zero-Day) دیگر در کروم که در محیط واقعی از آن سوءاستفاده میشد، بهروزرسانیهای اضطراری ارائه کرده است. این آسیبپذیری هشتمین آسیبپذیریای است که از آغاز سال تاکنون گوگل رفع کرده است.
بلیپینگ کامپیوتر گزارش میدهد که گوگل این آسیبپذیری روزصفر را برای کاربران در کانال دسکتاپ پایدار (Stable Desktop) رفع کرد و نسخههای رفعشده در سراسر جهان برای کاربران ویندوز (120.0.6099.129/130) و کاربران مک و لینوکس (120.0.6099.129) یک روز پس از گزارش به گوگل منتشر شد.
کلمان لسین و ولاد استولیاروفع از گروه تحلیل تهدیدات گوگل (TAG)، این باگ را کشف و گزارش کردند. این گروه از متخصصان امنیتی تشکیل شده است که هدف اصلیشان حفاظت از مشتریان گوگل دربرابر حملات تحتحمایت دولت است.
گروه تحلیل تهدیدات گوگل (TAG) بهطور مکرر باگهای روزصفر را کشف میکنند که عوامل تهدید تحتحمایت دولت در حملات هدفمند از آن استفاده میکنند. هدف این باگها جاسوسی روی دستگاههای افرادی نظیر سیاستمداران مخالف و روزنامهنگاران کنجکاو است.
با اینکه بهروزرسانی امنیتی ممکن است چند روز یا چند هفته طول بکشد تا به تمام کاربران برسد، طبق گفته گوگل، وقتیکه بلیپینگ کامپیوتر بهروزرسانیها را بررسی کرد، فوراً دردسترس بود. افرادی که ترجیح میدهند بهصورت دستی بهروزرسانی را انجام ندهند، میتوانند به مرورگر وب خود اعتماد کنند تا بهصورت خودکار بهروزرسانیهای جدید را بررسی و آنها را در اجرای بعدی نصب کند.
01
از 01هشتمین آسیبپذیری روزصفر امسال کروم پچ شد
آسیبپذیری روزصفر (CVE-2023-7024) ناشی از ضعف Overflow حافظه استک در چهارچوب WebRTC منبعباز است که در مرورگرهای وب دیگری مانند موزیلا فایرفاکس و مایکروسافت اج و سافاری استفاده میشود تا قابلیتهای ارتباطات زمان واقعی (RTC) (مانند پخش ویدئو و بهاشتراکگذاری فایل و تلفنی VoIP) را ازطریق رابطهای برنامهنویسی جاوااسکریپت فراهم کند.
گوگل درحالیکه میداند CVE-2023-7024 بهعنوان آسیبپذیری روزصفر در محیط واقعی بهرهبرداری شده است، هنوز جزئیات بیشتری از این وقایع بهاشتراک نگذاشته است. گوگل اعلام کرده است:
دسترسی به جزئیات باگ و لینکها ممکن است تا زمان اصلاح اکثر کاربران با بهروزرسانی محدود شود… همچنین اگر باگ در کتابخانهای شخص ثالث وجود داشته باشد که پروژههای دیگر نیز به آن وابسته هستند و هنوز اصلاح نشدهاند، محدودیتها را حفظ خواهیم کرد.
قبلاً گوگل هفت آسیبپذیری روزصفر دیگر را رفع کرده بود که در حملات بهرهبرداری شده بودند. این آسیبپذیریها با شناسههای CVE-2023-6345 ،CVE-2023-5217 ،CVE-2023-4863 ،CVE-2023-3079 ،CVE-2023-4762 ،CVE-2023-2136 و CVE-2023-2033 ردیابی شدهاند.
بعضی از این آسیبپذیریها (مانند CVE-2023-4762) بهعنوان باگهای روزصفر برچسبگذاری شده بودند و حتی هفتهها پس از انتشار پچهای شرکت برای جاسوسی بهکار گرفته میشدند.
