هشدار روز صفر: اکنون کروم را بهروزرسانی کنید تا آسیبپذیری جدیدی که به طور فعال مورد سوء استفاده قرار گرفته است را برطرف کنید
گوگل اخیرا بهروزرسانیهایی را برای رفع چهار نقص امنیتی در مرورگر کروم خود منتشر کرده از جمله یک نقص روز صفر که به طور فعال مورد سوء استفاده قرار گرفته است.
آسیبپذیری به شناسه CVE-2024-0519 با شدت بالا و امتیاز 8.8، یک دسترسی خارج از محدوده حافظه (out-of-bounds memory) در موتور V8 JavaScript و WebAssembly است که میتواند توسط عوامل تهدید مورد سواستفاده واقع شود.
بر اساس توضیحات MITRE (CWE): با خواندن حافظه خارج از محدوده، نفوذگر ممکن است بتواند به مقادیر محرمانه مانند آدرسهای حافظه دسترسی یابد. بدین ترتیب میتواند مکانیسمهای حفاظتی مانند ASLR را دور زده و به دسترسی اجرای کد به جای منع سرویس برسد.
این نقص امنیتی به صورت ناشناس در ۱۱ ژانویه گزارش شده و جزئیات بیشتر در مورد چگونگی حملات و عوامل تهدیدی که ممکن است از آن سوء استفاده کنند، در جهت تلاش برای جلوگیری از بهرهبرداری بیشتر پنهان مانده است.
بنابر آنچه که در توضیح این آسیبپذیری در پایگاه داده آسیبپذیری ملی NIST (NVD) ذکر شده است: «دسترسی به حافظه خارج از محدوده در V8 در Google Chrome قبل از نسخه 120.0.6099.224 به مهاجم راه دور اجازه میدهد به طور بالقوه از خرابی پشته (heap) از طریق یک صفحه HTML دستکاری شده سوءاستفاده کند».
این توسعه اولین روز صفری است که در سال 2024 توسط گوگل در کروم وصله شد.
✅ به منظور کاهش تهدیدات احتمالی به کاربران توصیه شده است که کروم خود را به نسخههای زیر ارتقا دهند:
- نسخه 120.0.6099.224/225 برای Windows
- نسخه 120.0.6099.234 برای macOS
- نسخه 120.0.6099.224 برای Linux
✅ همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi توصیه شده که به محض در دسترس شدن، وصلهها را اعمال کنند.