گوگل نسخه 94.0.4606.71 مرورگر کروم را برای سیستمهای عامل مک، ویندوز و لینوکس منتشر کرده است تا دو آسیب پذیری روز صفر CVE-2021-37975 و CVE-2021-37976 که توسط مهاجمان مورد سوءاستفاده قرار گرفتهاند را برطرف نماید. گوگل نسخه 94.0.4606.71 را در سراسر جهان در کانال Stable Desktop عرضه کرده است که تا روزهای آینده در دسترس همه کاربران قرار خواهد گرفت.
حملات روز صفر
در حالی که این نسخه از بهروزرسانی شامل رفع چهار آسیب پذیری امنیتی است، دو مورد آسیب پذیری روز صفری که مورد سو استفاده مهاجمان قرار گرفتهاند، نگران کننده هستند. اولین مورد که با شناسه CVE-2021-37976 شناخته میشود، از نوع نشت اطلاعات در هسته (Information leak in core) و و دارای درجه خطر متوسط است. این آسیب پذیری در 21 سپتامبر 2021 کشف شد.
دومین آسیب پذیری روز صفر که با شناسه CVE-2021-37975 شناسایی میشود، نقصی از نوع Use-After-Free (یا UAF) در موتور جاوا اسکریپت Chrome V8 است. این آسیب پذیری در 24 سپتامبر و توسط محققی ناشناس فاش شده است. اشکالات UAF معمولاً برای اجرای کد از راه دور (RCE) یا فرار از سندباکس امنیتی مرورگر استفاده میشود. در حال حاضر، جزئیات بیشتری در مورد نحوه استفاده از این آسیب پذیریهای روز صفر در حملات وجود ندارد، اما ممکن است در گزارشهای بعدی Google TAG یا Project Zero منتشر شود.
راهکار
جهت نصب فوری این به روزرسانی و جلوگیری از سوء استفادههای احتمالی، میتوانید به روش پایین اقدام به بهروزرسانی دستی مرورگر نمایید:
| Chrome menu> Help> About Google Chrome |
همچنین، با راه اندازی مجدد مرورگر، کروم به صورت خودکار بهروزرسانیهای موجود را بررسی کرده و آنها را نصب میکند.
