گوگل دهمین آسیبپذیری روز صفر کروم را کشف کرده است که مهاجمان از آن برای حمله به کاربران استفاده کردهاند.
بهگزارشتکناک، گوگل اعلام کرد که دهمین آسیبپذیری روز صفر را وصله کرده است. در سال ۲۰۲۴، مهاجمان یا محققان امنیتی در مسابقات هک از این آسیبپذیری سوءاستفاده کردهاند. این آسیبپذیری که با شناسهی CVE-2024-7965 کشف شده است، ناشی از خطایی در بخش پشتی کامپایلر هنگام انتخاب دستورالعملها برای تولید در کامپایلر زمان اجرا (JIT) است.
بلیپینگ کامپیوتر مینویسد گوگل این آسیبپذیری را بهعنوان پیادهسازی نامناسب در موتور جاوااسکریپت V8 کروم توصیف میکند که میتواند به مهاجمان از راه دور اجازه دهد تا ازطریق صفحهی HTML از خرابی حافظه بهرهبرداری کنند.
این بهروزرسانی در ۲۶ آگوست ۲۰۲۴ منتشر شده است. گوگل از وجود کدهای مخرب برای بهرهبرداری از آسیبپذیریهای CVE-2024-7971 و CVE-2024-7965 در محیطهای واقعی آگاه است.
گوگل هر دو آسیبپذیری روز صفر را در نسخهی 85./128.0.6613.84 کروم برای سیستمهای ویندوز و macOS و نسخهی 128.0.6613.84 کاربران لینوکس برطرف کرده است. این بهروزرسانی از روز چهارشنبه برای همهی کاربران در کانال دسکتاپ پایدار در حال انتشار است.
اگرچه کروم هنگام دردسترسبودن وصلههای امنیتی بهطور خودکار بهروزرسانی میشود، این فرایند را میتوانید سرعت ببخشید و بهروزرسانیها را بهصورت دستی با رفتن به منو Chrome> Help > About Google Chrome، اجازهدادن به اتمام بهروزرسانی و کلیککردن روی دکمهی Relaunch برای نصب آن اعمال کنید.
درحالیکه گوگل تأیید کرده است که آسیبپذیریهای CVE-2024-7971 و CVE-2024-7965 در دنیای واقعی سوءاستفاده شدهاند، هنوز اطلاعات بیشتری از این حملات بهاشتراک نگذاشته است. از ابتدای سال، گوگل هشت آسیبپذیری دیگر روز صفر را وصله کرده است که در حملات یا در مسابقهی هک Pwn2Own سوءاستفاده شدهاند.
