گوگل هشتمین نقص امنیتی روز صفر کروم را رفع کرد

گوگل هشتمین نقص امنیتی روز صفر (Zero-Day) را در مرورگر کروم رفع کرد. این نقص امنیتی که با شناسه‌ی CVE-2023-7024 شناخته می‌شود، بر نسخه‌های دسکتاپ کروم در سیستم‌‌عامل‌های مک و لینوکس و ویندوز تأثیر می‌گذاشت.

به‌گزارش تک‌ناک، گوگل به‌روزرسانی امنیتی اضطراری جدید منتشر کرده است تا هشتمین آسیب‌پذیری روز صفر (Zero-Day) کشف‌شده در مرورگر کروم را برطرف کند که هکرها به‌طور مداوم از آن سوءاستفاده می‌کردند. این مشکل امنیتی که با شناسه‌ی CVE-2024-5274 شناخته می‌شود، خطای «اختلاط نوع» (Type Confusion) با شدت زیاد در V8، موتور جاوااسکریپت کروم است.

بلیپینگ‌کامپیوتر گزارش می‌دهد آسیب‌پذیری اختلاط نوع زمانی رخ می‌دهد که برنامه قسمتی از حافظه را برای نگه‌داری نوع خاصی از داده اختصاص می‌دهد؛ اما به‌اشتباه داده را به‌عنوان نوعی متفاوت تفسیر می‌کند. این موضوع می‌تواند به خرابی داده‌ها و اجرای کد دلخواه منجر شود.

گوگل برای محافظت کاربران در‌برابر سوءاستفاده‌های احتمالی هکرها و دادن فرصت به آنان برای نصب نسخه‌ای از مرورگر که این مشکل را برطرف می‌کند، جزئیات فنی مربوط به این نقص را به‌اشتراک نگذاشته است.

راه حل گوگل برای رفع این آسیب‌پذیری، برای نسخه‌ی پایدار کروم (Stable channel) با شماره نسخه‌های ۱۲۵.۰.۶۴۲۲.۱۱۲ / ۱۲۵.۰.۶۴۲۲.۱۱۳ برای ویندوز و مک و ۱۲۵.۰.۶۴۲۲.۱۱۲ برای لینوکس در هفته‌های آینده منتشر خواهند شد.

به‌روزرسانی‌های امنیتی مهم کروم به‌طور خودکار نصب می‌شوند و پس از راه‌اندازی مجدد مرورگر اعمال می‌شوند. کاربران می‌توانند با مراجعه به بخش «About» در منو تنظیمات، از نصب آخرین نسخه مطمئن شوند. اگر به‌روزرسانی در‌دسترس باشد، کاربران باید منتظر اتمام فرایند به‌روزرسانی بمانند و سپس برای اعمال آن روی دکمه‌ی «Relaunch» کلیک کنند.

CVE-2024-5274 هشتمین آسیب‌پذیری روز صفر کشف‌شده در کروم به‌حساب می‌آید که از ابتدای سال جاری گوگل برطرف کرده است. همچنین، این سومین آسیب‌پذیری روز صفری است که فقط در همین ماه کشف و رفع شده است. این موضوع با تصمیم قبلی گوگل برای کاهش انتشار به‌روزرسانی‌های امنیتی کروم از دو بار در هفته به یک بار در هفته در تضاد است. کاهش دفعات به‌روزرسانی باعث ایجاد فاصله‌ی زمانی بیشتری بین انتشار پچ و سوءاستفاده‌ی هکرها از آن می‌شود.

در‌ادامه، فهرستی از آسیب‌پذیری‌های روز صفر کشف‌شده در کروم در سال جاری را آورده‌ایم که گوگل آن‌ها را برطرف کرده است:

• CVE-2024-0519: این آسیب‌پذیری شدید ضعف دسترسی به حافظه‌ی خارج از محدوده در موتور جاوااسکریپت V8 کروم است که به مهاجمان از راه دور اجازه می‌دهد تا ازطریق صفحه‌ی HTML به‌طور خاص طراحی‌شده از خرابی پشته‌ی (Heap) سوءاستفاده کند و به دسترسی غیرمجاز به اطلاعات حساس منجر شود.
• CVE-2024-2887: نقصی شدید در Type Confusion در استاندارد وب‌اسمبلی است. این آسیب‌پذیری می‌تواند به سوءاستفاده‌های اجرای کد از راه دور (RCE) با استفاده از صفحه‌ی HTML طراحی‌شده منجر شود.
• CVE-2024-2886: آسیب‌پذیری Use-After-Free در API وب‌کدک‌ها (WebCodecs) است که به‌واسطه‌ی برنامه‌های وب برای رمزگذاری و رمزگشایی صدا و تصویر استفاده می‌شود. مهاجمان از راه دور از این آسیب‌پذیری برای انجام خواندن و نوشتن خودسرانه از‌طریق صفحات HTML طراحی‌شده‌ سوءاستفاده می‌کند و به اجرای کد از راه دور منجر می‌شوند.
• CVE-2024-3159: آسیب‌پذیری شدید ناشی از خواندن خارج از محدوده در موتور جاوااسکریپت V8 کروم است. مهاجمان از راه دور از این نقص به‌واسطه‌ی صفحات HTML به‌طور خاص طراحی‌شده برای دسترسی به داده‌های فراتر از بافر حافظه‌ی اختصاص‌یافته سوء‌استفاده کرده‌اند که به خرابی پشته منجر می‌شود و می‌تواند برای استخراج اطلاعات حساس سوء‌استفاده شود.
• CVE-2024-4671: نقصی شدید در استفاده‌ی Use-After-Free در کامپوننت Visuals است که رندر و نمایش محتوا در مرورگر را کنترل می‌کند.
• CVE-2024-4761: مشکل نوشتن خارج از محدوده در موتور جاوااسکریپت V8 کروم محسوب می‌شود که مسئول اجرای کد JS در برنامه است.
• CVE-2024-4947: ضعفی شدید در Type Confusion در موتور جاوااسکریپت V8 کروم است که به‌طور بالقوه امکان اجرای کد دلخواه روی دستگاه هدف را می‌دهد.