شرکت گوگل در هفته جاری اعلام کرد که برای سیستمهای عامل ویندوز، مک و لینوکس، آخرین نسخه به روز شده مرورگر کروم را ارائه کرده که در آن چهار آسیبپذیری با درجه خطر بالا برطرف شده است.
این آسیبپذیریها کداماند؟
یکی از این آسیبپذیریها که با شناسه CVE-2021-37977 مشخص شده است، خطرناکترین حفره امنیتی این دوره است و میتوان از آن برای اجرای کدهای دلخواه در سیستم قربانی استفاده کرد. این نقص امنیتی به عنوان باگ “Use-After-Free” (یک کلاس از اشکال تخریب حافظه که توسط کاربران غیرمجاز مورد بهرهبرداری قرار میگیرد تا دادهها را در حافظه تخریب کند یا تغییر دهد و فعال کردن آنها منجر به DoS، یا بالا بردن اختیارات برای به دست آوردن دسترسی مدیریتی به یک سیستم میشود) شناخته میشود که در قسمت مدیریت حافظه “Garbage Collection” موجود است، و در ماه گذشته توسط یک محقق ناشناس به گوگل معرفی شد. گوگل نیز جایزهای ده هزار دلاری برای یافتن این باگ پرداخت کرده است.
نسخه کنونی کروم که با شماره 94.0.4606.81 در دسترس کاربران قرار گرفته، دو آسیبپذیری دیگر CVE-2021-37978 و CVE-2021-37979 را نیز مرتفع کرده است. در نهایت، چهارمین آسیبپذیری با شناسه CVE-2021-37980 مشخص شده که مرتبط با استفاده نامناسب از سندباکس است. مهاجمان میتوانند از این آسیبپذیریها در صفحات ساخته شده مخصوصی (specially crafted webpages) استفاده کنند تا سیستم شخصی که به این سایتها مراجعه میکند را آلوده کرده و در نتیجه کدهای مورد نظر خود را بر روی آنها اجرا نمایند.
