گوگل هشتمین آسیب‌پذیری روزصفر کروم را رفع کرد

گوگل برای رفع آسیب‌پذیری روزصفر دیگر در کروم به‌روزرسانی‌های اضطراری منتشر کرده است. این هشتمین آسیب‌پذیری است که گوگل از آغاز سال رفع کرده است.

به‌گزارش تک‌ناک، گوگل به‌منظور رفع آسیب‌پذیری روزصفر (Zero-Day) دیگر در کروم که در محیط واقعی از آن سوءاستفاده می‌شد، به‌روزرسانی‌های اضطراری ارائه کرده است. این آسیب‌پذیری هشتمین آسیب‌پذیری‌ای است که از آغاز سال تاکنون گوگل رفع کرده است.

بلیپینگ کامپیوتر گزارش می‌دهد که گوگل این آسیب‌پذیری روزصفر را برای کاربران در کانال دسکتاپ پایدار (Stable Desktop) رفع کرد و نسخه‌های رفع‌شده در سراسر جهان برای کاربران ویندوز (120.0.6099.129/130) و کاربران مک و لینوکس (120.0.6099.129) یک روز پس از گزارش به گوگل منتشر شد.

کلمان لسین و ولاد استولیاروفع از گروه تحلیل تهدیدات گوگل (TAG)، این باگ را کشف و گزارش کردند. این گروه از متخصصان امنیتی تشکیل شده است که هدف اصلی‌شان حفاظت از مشتریان گوگل در‌برابر حملات تحت‌حمایت دولت است.

گروه تحلیل تهدیدات گوگل (TAG) به‌طور مکرر باگ‌های روزصفر را کشف می‌کنند که عوامل تهدید تحت‌حمایت دولت در حملات هدفمند از آن استفاده می‌کنند. هدف این باگ‌ها جاسوسی روی دستگاه‌های افرادی نظیر سیاست‌مداران مخالف و روزنامه‌نگاران کنجکاو است.

با اینکه به‌روزرسانی امنیتی ممکن است چند روز یا چند هفته‌ طول بکشد تا به تمام کاربران برسد، طبق گفته گوگل، وقتی‌که بلیپینگ کامپیوتر به‌روزرسانی‌ها را بررسی کرد، فوراً دردسترس بود. افرادی که ترجیح می‌دهند به‌صورت دستی به‌روزرسانی را انجام ندهند، می‌توانند به مرورگر وب خود اعتماد کنند تا به‌صورت خودکار به‌روزرسانی‌های جدید را بررسی و آنها را در اجرای بعدی نصب کند.

هشتمین آسیب‌پذیری روزصفر امسال کروم پچ شد

آسیب‌پذیری روزصفر (CVE-2023-7024) ناشی از ضعف Overflow حافظه استک در چهارچوب WebRTC منبع‌باز است که در مرورگرهای وب دیگری مانند موزیلا فایرفاکس و مایکروسافت اج و سافاری استفاده می‌شود تا قابلیت‌های ارتباطات زمان واقعی (RTC) (مانند پخش ویدئو و به‌اشتراک‌گذاری فایل و تلفنی VoIP) را ازطریق رابط‌های برنامه‌نویسی جاوااسکریپت فراهم کند.

گوگل در‌حالی‌که می‌داند CVE-2023-7024 به‌عنوان آسیب‌پذیری روزصفر در محیط واقعی بهره‌برداری شده است، هنوز جزئیات بیشتری از این وقایع به‌اشتراک نگذاشته است. گوگل اعلام کرده است:

دسترسی به جزئیات باگ و لینک‌ها ممکن است تا زمان اصلاح اکثر کاربران با به‌روزرسانی محدود شود… همچنین اگر باگ در کتابخانه‌ای شخص ثالث وجود داشته باشد که پروژه‌های دیگر نیز به آن وابسته هستند و هنوز اصلاح نشده‌اند، محدودیت‌ها را حفظ خواهیم کرد.

قبلاً گوگل هفت آسیب‌پذیری روزصفر دیگر را رفع کرده بود که در حملات بهره‌برداری شده بودند. این آسیب‌پذیری‌ها با شناسه‌های CVE-2023-6345 ،‌CVE-2023-5217 ،‌CVE-2023-4863 ،‌CVE-2023-3079 ،‌CVE-2023-4762 ،‌CVE-2023-2136 و CVE-2023-2033 ردیابی شده‌اند.

بعضی از این آسیب‌پذیری‌ها (مانند CVE-2023-4762) به‌عنوان باگ‌های روزصفر برچسب‌گذاری شده بودند و حتی هفته‌ها پس از انتشار پچ‌های شرکت برای جاسوسی به‌کار گرفته می‌شدند.