گوگل برای رفع مجموعهای از ۹ نقص امنیتی در مرورگر کروم خود، از جمله یک روز صفر جدید که مورد سوءاستفاده قرار گرفته، اصلاحیههایی را ارائه کرده است. این آسیبپذیری با شناسه CVE-2024-4947 به یک باگ سردرگمی نوع (Type confusion) در موتور V8 JavaScript و WebAssembly مربوط میشود.
آسیبپذیریهای Type confusion هنگامی ایجاد میشوند که یک برنامه تلاش میکند به منبعی با نوع ناسازگار دسترسی یابد. این نوع آسیبپذیری میتواند تأثیرات جدی در پی داشته باشد. به عبارتی دیگر چنین نقصهایی عموماً نفوذگران را قادر میسازد تا با خواندن یا نوشتن حافظه خارج از محدوده بافر، باعث خرابی و اجرای کد دلخواه در دستگاههای هدف شوند.
این توسعه سومین روز صفر مورد سوءاستفاده در حملات است که گوگل در عرض یک هفته پس از آسیبپذیریهای با شناسه CVE-2024-4671 (نقص use-after-free در مؤلفه Visuals) و CVE-2024-4761 (نقص نوشتن خارج از محدوده ناشی از نقص use-after-free در مؤلفه Visuals) وصله کرده است. مطابق معمول برای جلوگیری از بهرهبرداری بیشتر، جزئیات خاصی در مورد این حملات در دسترس نیست.
بهروزرسانی
گوگل این نقص روز صفر را با انتشار نسخههای زیر برطرف کرد. نسخههای جدید در هفتههای آینده برای همه کاربران کانال دسکتاپ پایدار (Stable Desktop channel) عرضه میشوند.
✔️ نسخه 125.0.6422.60 و 125.0.6422.61 برای Mac/Windows
✔️ نسخه 125.0.6422.60 برای Linux
