شرکت گوگل (Google)، با انتشار یک بهروزرسانی اضطراری دیگر، سومین آسیبپذیری روز-صفر افشاشده طی یک هفته اخیر را در مرورگر Chrome ترمیم کرد.
بر اساس توصیهنامه این شرکت، آسیبپذیری مذکور با شناسه CVE-2024-4947 [مشابه دو آسیبپذیری دیگر]، از مدتی پیش مورد بهرهجویی (Exploit) مهاجمان قرار گرفته است.
CVE-2024-4947، باگی از نوع Type Confusion است که پویشگر Chrome V8 JavaScript از آن متأثر میشود.
به طور کلی، آسیبپذیریهای Type Confusion زمانی رخ میدهند که برنامه یک منبع، شئی (Object) یا متغیر را با استفاده از یک نوع خاص مقداردهی میکند و سپس با استفاده از نوع متفاوت و ناسازگار به آنها دسترسی پیدا میکند و در عمل بستر را برای دسترسی خارج از محدوده مجاز به حافظه فراهم مینماید. با چنین دسترسیهای غیرمجاز به حافظه، مهاجم میتواند اطلاعات حساس برنامههای دیگر را بخواند، باعث خرابی شود یا اقدام به اجرای کد دلخواه خود کند.
به گزارش شرکت مهندسی شبکه گستر، هدایت کاربر به یک صفحه HTML حاوی کد اکسپلویت، از جمله سناریوهای محتمل برای بهرهجویی از این آسیبپذیری است.
همانطور که اشاره شد، CVE-2024-4947، سومین آسیبپذیری روز-صفری است که طی یک هفته اخیر، شرکت گوگل برای ترمیم آن اقدام به انتشار بهروزرسانی اضطراری کرده است.
CVE-2024-4671 و CVE-2024-4761 دو آسیبپذیری روز-صفر دیگر اخیر هستند.
CVE-2024-4671، باگی از نوع Use After Free است و بخش Visuals که وظیفه آن، نمایانسازی (Rendering) و نمایش محتوا در مرورگر است از آن متأثر میشود.
CVE-2024-4761 نیز ضعفی از نوع Out-of-Bounds Write است که پویشگر Chrome V8 JavaScript از آن تأثیر میپذیرد.
اکسپلویت موفق هر کدام از آسیبپذیریهای مذکور، مهاجم را قادر به سرقت دادههای بالقوه حساس، اجرای کد یا از کاراندازی برنامه خواهد کرد.
این ضعفهای امنیتی در نسخ 125.0.6422.60/.61 مرورگر Chrome ترمیم و اصلاح شدهاند.
با توجه به بهرهجویی مهاجمان از این سه باگ امنیتی به تمامی کاربران Chrome توصیه اکید میشود که از بهروز بودن مرورگر Chrome خود اطمینان حاصل کنند.
توضیحات گوگل در خصوص آسیبپذیری CVE-2024-4671 در لینک زیر قابل دریافت و مطالعه است:
https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html