گوگل بهروزرسانیهای امنیتی جدیدی را برای مقابله با اولین آسیبپذیری روز صفر سال 2024 در مرورگر کروم منتشر کرده است.
بهگزارش تکناک، گوگل اولین آسیب امنیتی مرورگر کروم در سال 2024 را رفع کرده است. این آسیبپذیری که با شناسه CVE-2024-0519 شناخته میشود، از ابتدای سال میلادی جدید درمعرض سوءاستفاده مهاجمان سایبری بوده است.
گوگل این آسیبپذیری روز صفر را برای کاربران کانال پایدار مرورگر کروم دسکتاپ خود برطرف کرده است.
این اقدام با انتشار نسخههای ترمیمشده در سراسر جهان برای سیستمعاملهای ویندوز (نسخههای 120.0.6099.224/225) و مک (نسخه 120.0.6099.234) و لینوکس (نسخه 120.0.6099.224)، کمتر از یک هفته پس از گزارششدن مشکل به گوگل انجام شده است. گوگل اعلام کرده است که بهروزرسانی امنیتی احتمال دارد چند روز یا حتی هفتهای طول بکشد تا به تمام کاربران تحتتأثیر برسد.
کاربرانی که تمایل دارند بهروزرسانیهای مرورگر وب خود را بهصورت دستی انجام ندهند، میتوانند بهروزرسانیهای جدید کروم را بررسی و پس از بارگذاری بعدی مرورگر، آنها را نصب کنند.
آسیبپذیری روز صفر شدید (CVE-2024-0519) در مرورگر کروم گوگل بهدلیل نقص در دسترسی به حافظه خارج از محدوده در موتور جاوا اسکریپت Chrome V8 رخ داده است. این آسیبپذیری به مهاجمان اجازه میدهد تا به دادههایی دسترسی پیدا کنند که فراتر از محدوده بافر حافظه قرار دارند. این مسئهل میتواند به دسترسی به اطلاعات حساس یا ایجاد نقص در سیستم منجر شود.
طبق توضیحات MITRE، این مشکل میتواند باعث شود که «سنتینل موردانتظار» در حافظه خارج از محدوده قرار نگیرد و به خواندهشدن دادههای بیشازحد و ایجاد خطای تقسیم یا سرریز بافر منجر میشود.
محصول ممکن است یک شاخص را تغییر یا محاسبات اشارهگری انجام دهد که به مکان حافظهای اشاره میکند که خارج از مرزهای بافر است و عملیات خواندن بعدی میتواند نتایج نامعین یا غیرمنتظرهای تولید کند.
علاوهبراین، آسیبپذیری CVE-2024-0519 میتواند برای دورزدن مکانیزمهای حفاظتی مانند ASLR بهرهبرداری شود تا دستیابی به اجرای کد ازطریق ضعف دیگری را آسانتر کند.
هرچند گوگل از بهرهبرداریهای روز صفر CVE-2024-0519 در حملات آگاه است، تاکنون اطلاعات بیشتری درباره این حوادث منتشر نکرده است. این بیانگر اهمیت و جدیت موضوع است و نشان میدهد که تلاشهای گوگل برای مقابله با این تهدیدهای امنیتی ادامه دارد.
گوگل اعلام کرده است که دسترسی به جزئیات باگ و لینکهای مرتبط ممکن است تا زمانی محدود شود که اکثر کاربران با بهروزرسانی اشکالات را برطرف کنند.
همچنین، این شرکت تأکید کرده است که اگر باگ در کتابخانهای شخص ثالث وجود داشته باشد که پروژههای دیگر نیز بهطور مشابه به آن وابسته هستند؛ اما هنوز آن را رفع نکردهاند، محدودیتها را حفظ خواهد کرد.
علاوهبراین، گوگل امروز دو آسیبپذیری دیگر در V8 را برطرف کرده است: یکی CVE-2024-0517 که آسیبپذیری نوشتن خارج از محدوده است و دیگری CVE-2024-0518 که آسیبپذیری سردرگمی نوع است. این آسیبپذیریها به مهاجمان امکان اجرای کد دلخواه روی دستگاههای آسیبدیده را فراهم میکنند.
در سال گذشته، گوگل هشت باگ روز صفر در کروم را برطرف کرد که در حملات بهرهبرداری شدهاند و با شناسههای CVE-2023-7024 ،CVE-2023-6345 ،CVE-2023-5217 ،CVE-2023-4863 ،CVE-2023-3079 ،CVE-2023-4762 ،CVE-2023-2136 و CVE-2023-2033 ردیابی شدهاند.
برخی از این باگها، مانند CVE-2023-4762، بهعنوان باگهای روز صفری شناخته میشوند که برای نصب جاسوسافزار روی دستگاههای آسیبپذیر متعلق به کاربران پرخطر، مانند روزنامهنگاران و سیاستمداران مخالف و معترضان، چند هفته پس از انتشار پچها استفاده شدهاند.
