نهمین ضعف امنیتی روز-صفر Chrome در سال میلادی جاری

شرکت گوگل (Google) با انتشار یک به‌روزرسانی امنیتی اضطراری، ضعف دیگری با شناسه CVE-2022-4262 را در مرورگر Chrome که مهاجمان در حال بهره‌جویی از آن هستند ترمیم کرد.

CVE-2022-4262، نهمین آسیب‌پذیری روز-صفر در Chrome است که در سال میلادی جاری پیش از عرضه اصلاحیه برای آن مورد اکسپلویت قرار گرفته است. نشانه‌ای بارز از آن که مهاجمان حرفه‌ای توجهی خاص به این مرورگر پرطرفدار دارند.

این آسیب‌پذیری جدید که به آن درجه حساسیت “بالا” (High) تخصیص داده شده باگی از نوع Type Confusion است که پویشگر Chrome V8 JavaScript از آن متأثر می‌شود.

به طور کلی، آسیب‌پذیری‌های Type Confusion زمانی رخ می‌دهند که برنامه یک منبع، شئی (Object) یا متغیر را با استفاده از یک نوع خاص مقداردهی می‌کند و سپس با استفاده از نوع متفاوت و ناسازگار به آنها دسترسی پیدا می‌کند و در عمل بستر را برای دسترسی خارج از محدوده مجاز به حافظه فراهم می‌کند. با چنین دسترسی‌های غیرمجاز به حافظه مهاجم می‌تواند اطلاعات حساس برنامه‌های دیگر را بخواند، باعث خرابی شود یا اقدام به اجرای کد دلخواه خود کند.

به گزارش شرکت مهندسی شبکه گستر، هدایت کاربر به یک صفحه HTML حاوی کد اکسپلویت، از جمله سناریوهای محتمل برای بهره‌جویی از این آسیب‌پذیری است.

آسیب‌پذیری CVE-2022-4262 در نسخ 108.0.5359.94 و 108.0.5359.95 مرورگر Chrome که 11 آبان از سوی شرکت گوگل منتشر شدند ترمیم و اصلاح شده است.

با توجه به بهره‌جویی مهاجمان از این ضعف امنیتی به تمامی کاربران Chrome توصیه اکید می‌شود که از به‌روز بودن این مرورگر بر روی دستگاه خود اطمینان حاصل کنند.

توضیحات گوگل در خصوص آسیب‌پذیری CVE-2022-4262 در لینک زیر قابل دریافت و مطالعه است:

https://chromereleases.googleblog.com/2022/12/stable-channel-update-for-desktop.html