گوگل روز پنج‌شنبه بروزرسانی‌های امنیتی جدیدی برای رفع نقص روز صفر (Zero-Day) مرورگر کروم منتشر کرد که به گفته این شرکت، به‌طور فعال در فضای سایبری مورد سوءاستفاده قرار گرفته است.

این آسیب‌پذیری بحرانی با شناسه CVE-2024-4671 شناخته می‌شود و به‌عنوان یک باگ use-after-free در کامپوننت Visuals توصیف شده است. این آسیب‌پذیری توسط یک محقق ناشناس در تاریخ ۷ می ۲۰۲۴ گزارش شده است.

باگ‌های use-after-free زمانی رخ می‌دهند که یک برنامه پس از آزادسازی حافظه، دوباره به آن ارجاع می‌دهد و این می‌تواند منجر به پیامدهای مختلفی از جمله کرش تا اجرای کد دلخواه شود.

گوگل در توصیه‌ای کوتاه، بدون فاش کردن جزئیات بیشتر درباره نحوه سوءاستفاده از این نقص در حملات واقعی یا هویت عوامل تهدیدکننده پشت آن، اعلام کرد: “گوگل می‌داند که یک اکسپلویت برای CVE-2024-4671 در فضای سایبری وجود دارد.”

در جدیدترین توسعه‌ها و بروزرسانی‌ها، گوگل از ابتدای سال میلادی جاری به دو نقص روز صفر که به‌طور فعال مورد سوءاستفاده قرار گرفته بودند، پرداخته است.

در اوایل ژانویه، این غول فناوری مشکل دسترسی به حافظه خارج از محدوده را در انجین V8 JavaScript و WebAssembly (CVE-2024-0519، امتیاز CVSS: 8.8) پچ کرد که ممکن بود منجر به کرش شود.

گوگل همچنین به سه نقص روز صفر دیگر که در جریان مسابقه هک Pwn2Own در ونکوور در ماه مارس فاش شده بودند، رسیدگی کرده و آنها را رفع نمود:

– آسیب‌پذیری CVE-2024-2886: باگ use-after-free در WebCodecs

– آسیب‌پذیری CVE-2024-2887: نوع confusion در WebAssembly

– آسیب‌پذیری CVE-2024-3159: دسترسی به حافظه خارج از محدوده در V8

به کاربران توصیه می‌شود برای کاهش تهدیدات احتمالی، کروم را به نسخه 124.0.6367.201/.202 برای Windows و macOS و نسخه 124.0.6367.201 برای Linux ارتقا دهند.

همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه می‌شود که به‌محض در دسترس قرار گرفتن بروزرسانی‌ها، اصلاحات و رفع نقایص را اعمال کنند.