کمیته رکن چهارم – گوگل با انتشار Chrome ۸۶,۰.۴۲۴۰.۱۸۳ برای ویندوز Mac و Linux ده نوع آسیبپذیری امنیتی را رفع کرده که اجرای کد از راه دور (RCE) ازجمله آنها است.
آسیب پذیریZero-day توسط Clement Lecigne از گروه تجزیهوتحلیل تهدیدات گوگل و از Google Project Zero در ۲۹ اکتبر امسال گزارش شد. این آسیبپذیری RCE به عنوان CVE-۲۰۲۰-۱۶۰۰۹ ردیابی میشود و به عنوان یک اجرای نامناسب در V۸، موتور منبعباز گوگل و ++C مبتنی بر عملکرد بالا WebAssembly و موتور جاوا اسکریپت توصیف میشود.
در حالی که گوگل اعلام کرده که از گزارشهایی مبنی بر وجود سوءاستفاده از CVE-۲۰۲۰-۱۶۰۰۹ در wild آگاه است، هیچ جزئیاتی در مورد عوامل تهدیدگر این حملات ارائه نکرده است.
گوگل میافزاید: دسترسی به جزئیات آسیبپذیری و لینکها ممکن است محدود باشد تا زمانی که اکثر کاربران با رفع مشکل بهروز شوند.
Google یک Zero-day دیگر در Chrome را برای Android که در wild مورد بهره برداری واقع شده را وصله کرد، آسیبپذیری sandbox scape که به عنوان CVE-۲۰۲۰-۱۶۰۱۰ دنبال میشود.
Chrome دو آسیب پذیری دیگر را که به طور فعال در wild مورد سوءاستفاده قرار میگرفتند رفع کرده است (این آسیبپذیریها هفته گذشته توسط پروژه صفر / Google TAG کشف شد). CVE-۲۰۲۰-۱۶۰۰۹ یک اشکال v۸ است که برای اجرای کد از راه دور استفاده میشود، CVE-۲۰۲۰-۱۶۰۱۰ sandbox scape کروم برای اندروید است.
CVE-۲۰۲۰-۱۶۰۰۹ دومین وصله zero-day Chrome است که در دو هفته گذشته بهطور فعال مورد بهرهبرداری قرار گرفته است. هفته گذشته، تیم کشف آسیبپذیری Project Zero ۰day Google، یک هسته ویندوز (EoP) را که به عنوان CVE-۲۰۲۰-۱۷۰۸۷ ردیابی شده بود را فاش کرد که بر تمام نسخههای بین ویندوز ۷ و ویندوز ۱۰ تأثیر گذاشته است.
گوگل همچنین شش آسیبپذیری امنیتی دیگر با اهمیت بالا را در Chrome ۸۶,۰.۴۲۴۰.۱۸۳ برطرف کرده است:
CVE-۲۰۲۰-۱۶۰۰۴: پس از استفاده رایگان در رابط کاربر. گزارش شده توسط Leecraso و Guang Gong از آزمایشگاه ۳۶۰ Alpha که با ۳۶۰ BugCloud در تاریخ ۱۵-۲۰۱۰-۲۰۲۰ کار میکند
CVE-۲۰۲۰-۱۶۰۰۵: اجرای سیاست کافی در ANGLE. گزارش شده در تاریخ ۱۶-۱۰-۲۰۲۰
CVE-۲۰۲۰-۱۶۰۰۶: اجرای نامناسب در V۸. گزارش شده در تاریخ ۲۹/۰۹/۲۰۲۰
CVE-۲۰۲۰-۱۶۰۰۷: تأیید اعتبار داده در installer کافی نیست. گزارش شده در ۲۰۲۰-۰۹-۰۴
CVE-۲۰۲۰-۱۶۰۰۸: سرریز بافر Stack در WebRTC. گزارش شده در ۲۰۲۰-۱۰-۰۱
CVE-۲۰۲۰-۱۶۰۱۱: سرریز بافر Heap در UI در ویندوز. گزارش شده در ۲۰۲۰-۱۱-۰۱
Chrome ۸۶,۰.۴۲۴۰.۱۸۳ در طی روزها / هفته های بعدی در دسترس کاربران قرار خواهد گرفت. کاربران دسکتاپ میتوانند با رفتن به تنظیمات -> راهنما -> درباره Google Chrome، آن را ارتقا دهند.
منبع : مرکز مدیریت راهبردی افتا
