گوگل روز جمعه یک آپدیت جدید امنیتی را برای رفع آسیبپذیری با شدت بالا در مرورگر کروم ارائه کرد. در واقع قدرت و توان نرمافزاری این شرکت هم نتوانسته جلوی آسیبپذیری Zero-Day را بگیرد.
روز صفر که به عنوان CVE-2022-1096 ردیابی شده است و پس از آن در 23 مارس 2022 ( 3 فروردین 1401) بررسی این مشکل به یک محقق ناشناس که مسئول گزارش این اشکال است، سپرده شد.
این آسیبپذیری درواقع به این گونه است که هنگام دسترسی به یک منبع خطاهایی ناسازگار با آنچه که در ابتدا راه اندازی شده بود ایجاد میشود، این مشکل می تواند عواقب جدی در زبان هایی که از حافظه ایمنی برخوردار نیستند، مانند C و C++ ایجاد کند. در ادامه با تکراتو همراه باشید.
آسیبپذیری Zero-Day کروم
گوگل اخیرا برای رفع آسیبپذیری روز صفر آپدیت جدیدی را برای مرورگر کروم با شماره ساخت 99.0.4844.84 در سیستم عاملهایWindows ، macOS و Linux منتشر کرده است. این آپدیت دیگر مانع مورد سوءاستفاده قرار گرفتن روز صفر توسط مهاجمان میشود. حال به علت در دسترس نبودن جزئیات کامل در مورد آسیبپذیری Zero-Day ، باید کمی صبر کرد تا اکثر کاربران این آپدیت را روی مرورگر خود دریافت کنند. این شرکت در بیانیه ای از وجود آسیب پذیری CVE-2022-1096 به طور کامل خبر دارد. همچنین به زودی آپدیت مرورگر کروم به نسخه 99.0.4844.84 به منظور رفع این آسیبپذیری، برای کل کاربران در روزها و هفتههای آینده، در دسترس خواهد بود.
این آپدیت بهطور خودکار و در پسزمینه نصب میشود، اما اگر تا به الان موفق به دریافت آپدیت جدید نشدهاید، میتوانید آخرین نسخه مرورگر کروم را با انتخاب گزینه “Help” در منوی برنامه و رفتن به بخش فرعی About Google Chrome سریعتر دریافت نمایید.
درواقع این آسیبپذیری Zero-Day که ناشی از یک نوع اشتباه در موتور جاوا اسکریپت منبع باز V8 است به این گونه عمل میکند که با استفاده از بهرهبرداری موفقیتآمیز خطاها که توسط خود مهاجم در یک وبسایت خاص ایجاد شده است، اجازه خواندن یا نوشتن دادهها در حافظه خارج از بافر داده میشود و اگر بافر اختصاص داده شده کوچکتر از نوعی باشد که کد سعی می کند به آن دسترسی پیدا کند، منجر به خرابی میشود و مهاجمان میتوانند کد دلخواه را وارد کنند و دادهها را دستکاری کند.
این آسیبپذیری دومین باگ، علیه روز صفر بعد از آسیبپذیری شماره CVE-2022-0609 است. در حقیقت این آسیبپذیریها توسط دو گروه از هکرهای کره شمالی صورت گرفته است. گروه تحلیل تهدیدات گوگل (TAG) توانسته است جزئیات این کمپین دوقلویی را که توسط گروههای دولت-ملت کره شمالی ترتیب داده شده بود را فاش کند. با توجه به اخبار فاش شده، میتوان گفت هدف از ایجاد این نقص حمله به سازمانهای مستقر در ایالات متحده که رسانههای خبری، فناوری اطلاعات، ارزهای دیجیتال و صنایع فینتک را پوشش میدهند، است.
درآخر به کاربران Google Chrome به شدت توصیه میشود که برای کاهش هرگونه تهدید احتمالی، به آخرین نسخه 99.0.4844.84 برای Windows، Mac و Linux به روز رسانی کنند.
مقالات بیشتر: