شرکت گوگل (Google, LLC) جهت ترمیم دو آسیبپذیری روز صفر در Chrome که اخیراً توسط مهاجمان به طور فعال مورد سوءاستفاده قرار گرفته، نسخه 95.0.4638.69 را برای مرورگر مذکور در Windows ،Mac و Linux ارائه کرده است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، آسیبپذیریهای مذکور مورد بررسی قرار گرفته است.
این نسخه از Chrome در مجموع هفت آسیبپذیری را برطرف میکند، که دو مورد از آنها از نوع روز صفر است و توسط مهاجمان مورد سوءاستفاده قرار گرفتهاند.
اولین ضعف امنیتی روز صفر، که دارای شناسه CVE-2021-38000 است، با عنوان Insufficient validation of untrusted input in intents توصیف میشود و دارای درجه اهمیت “بالا” (High) میباشد.
دومین آسیبپذیری روز صفر که در 2 آبان گزارش شده، ضعف امنیتی از نوع Inappropriate Implementation در Chrome V8 JavaScript Engine بوده و دارای شناسه CVE-2021-38003 میباشد.
در حال حاضر، شرکت گوگل و محققان آن، جزئیات بیشتری در مورد نحوه سوءاستفاده مهاجمان از آسیبپذیریهای مذکور ارائه نکردهاند.
از آنجایی که این دو آسیبپذیری در حملات مورد سوءاستفاده قرار گرفتهاند، اکیداً توصیه میشود همه کاربران Chrome انجام بهروزرسانیها را به تعویق نیندازند و نسبت به ارتقای این مرورگر اقدام نمایند.
گوگل از ابتدای سال میلادی2021، 15 آسیبپذیری از نوع روز صفر را در این مرورگر ترمیم کرده است. فهرست 13 ضعف امنیتی روز صفر دیگر که از ابتدای سال وصلهشده عبارتند از:
- CVE-2021-21148و16 بهمن 1399
- CVE-2021-21166و12 اسفند 1399
- CVE-2021-21193و22 اسفند 1399
- CVE-2021-21220و24 فروردین 1400
- CVE-2021-21224و31 فروردین 1400
- CVE-2021-30551و19 خرداد 1400
- CVE-2021-30554و27 خرداد 1400
- CVE-2021-30563و24 تیر 1400
- CVE-2021-30633 و CVE-2021-30632و22 شهریور 1400
- CVE-2021-37973و2 مهر 1400
- CVE-2021-37975 و CVE-2021-37976و8 مهر 1400
جزییات بیشتر در خصوص نسخه 95.0.4638.69 مرورگر Chrome در لینک زیر قابل مطالعه است:
https://chromereleases.googleblog.com/2021/10/stable-channel-update-for-desktop_28.html