کشف آسیب‌پذیری روز صفر در گوگل کروم

کمیته رکن چهارم – کارشناسان امنیت سایبری یک آسیب‌پذیری بحرانی روز صفر در مرورگر گوگل کروم کشف کرده‌اند.

گوگل به‌روزرسانی‌های امنیتی اضطراری را برای رفع چهارمین آسیب‌پذیری روز صفر کروم منتشر کرد که از ابتدای سال تاکنون مورد بهره‌برداری قرار گرفته است.

یک آسیب‌پذیری که با عنوان CVE-2023-4863 بحرانی طبقه بندی شده است، در گوگل کروم (مرورگر وب) یافت شد که بر بلوک کد ناشناخته مؤلفه WebP تأثیر می‌گذارد.

آسیب‌پذیری بحرانی روز صفر (CVE-2023-4863) ناشی از ضعف سرریز پشته‌ای بافر کتابخانه کد WebP (libwebp) است که تأثیر آن از خرابی تا اجرای کد متغیر است.

این آسیب‌پذیری به مهاجم راه دور اجازه می‌دهد، از طریق یک صفحه HTML دستکاری شده، نوشتن حافظه خارج از محدوده را انجام دهد.

دستکاری با یک ورودی ناشناخته منجر به آسیب‌پذیری سرریز مبتنی بر پشته می‌شود.

شرایط سرریز پشته یک سرریز بافر است که در آن بافری که می‌توان رونویسی کرد، در قسمت پشته حافظه تخصیص داده می شود. به طور کلی به این معنی که بافر با استفاده از روتینی مانند malloc() تخصیص داده شده است.

مرورگر وب همچنین به‌روزرسانی‌های جدید را بررسی می‌کند و به‌طور خودکار بدون نیاز به تعامل کاربر پس از راه‌اندازی مجدد، آنها را نصب می‌کند.

این آسیب‌پذیری توسط Apple Security Engineering and Architecture (SEAR) و The Citizen Lab در دانشکده Munk دانشگاه تورنتو در چهارشنبه گذشته، ۶ سپتامبر گزارش شده است.

کاربران کروم می‌توانند مرورگرهای خود را برای خنثی کردن حملات قبل از انتشار مشخصات فنی اضافی به‌روزرسانی کنند.

این آسیب‌پذیری در Google Chrome قبل از نسخه ۱۱۶٫۰٫۵۸۴۵٫۱۸۷ تاثیرگذار بوده است.

ارتقاء به نسخه ۱۱۶٫۰٫۵۸۴۵٫۱۸۷ این آسیب¬پذیری را از بین می‌برد.

منبع: افتانا