هشدار Zero-Day در Chrome؛ مرورگر خود را سریعتر بهروز کنید
گوگل روز پنجشنبه بروزرسانیهای امنیتی جدیدی برای رفع نقص روز صفر (Zero-Day) مرورگر کروم منتشر کرد که به گفته این شرکت، بهطور فعال در فضای سایبری مورد سوءاستفاده قرار گرفته است.
این آسیبپذیری بحرانی با شناسه CVE-2024-4671 شناخته میشود و بهعنوان یک باگ use-after-free در کامپوننت Visuals توصیف شده است. این آسیبپذیری توسط یک محقق ناشناس در تاریخ ۷ می ۲۰۲۴ گزارش شده است.
باگهای use-after-free زمانی رخ میدهند که یک برنامه پس از آزادسازی حافظه، دوباره به آن ارجاع میدهد و این میتواند منجر به پیامدهای مختلفی از جمله کرش تا اجرای کد دلخواه شود.
گوگل در توصیهای کوتاه، بدون فاش کردن جزئیات بیشتر درباره نحوه سوءاستفاده از این نقص در حملات واقعی یا هویت عوامل تهدیدکننده پشت آن، اعلام کرد: “گوگل میداند که یک اکسپلویت برای CVE-2024-4671 در فضای سایبری وجود دارد.”
در جدیدترین توسعهها و بروزرسانیها، گوگل از ابتدای سال میلادی جاری به دو نقص روز صفر که بهطور فعال مورد سوءاستفاده قرار گرفته بودند، پرداخته است.
در اوایل ژانویه، این غول فناوری مشکل دسترسی به حافظه خارج از محدوده را در انجین V8 JavaScript و WebAssembly (CVE-2024-0519، امتیاز CVSS: 8.8) پچ کرد که ممکن بود منجر به کرش شود.
گوگل همچنین به سه نقص روز صفر دیگر که در جریان مسابقه هک Pwn2Own در ونکوور در ماه مارس فاش شده بودند، رسیدگی کرده و آنها را رفع نمود:
– آسیبپذیری CVE-2024-2886: باگ use-after-free در WebCodecs
– آسیبپذیری CVE-2024-2887: نوع confusion در WebAssembly
– آسیبپذیری CVE-2024-3159: دسترسی به حافظه خارج از محدوده در V8
به کاربران توصیه میشود برای کاهش تهدیدات احتمالی، کروم را به نسخه 124.0.6367.201/.202 برای Windows و macOS و نسخه 124.0.6367.201 برای Linux ارتقا دهند.
همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه میشود که بهمحض در دسترس قرار گرفتن بروزرسانیها، اصلاحات و رفع نقایص را اعمال کنند.