کمیته رکن چهارم – گوگل یک آپدیت برای نسخه ۱۱۳ کروم منتشر کرده است که ۱۲ آسیبپذیری اساسی این مرورگر را وصله میکند.
گوگل این هفته از انتشار یک بهروزرسانی امنیتی برای کروم ۱۱۳ خبر داد که در مجموع ۱۲ آسیبپذیری، از جمله یکی از آسیبپذیریهای روز صفر را برطرف میکند. شش مورد از نقصها توسط محققان خارجی گزارش شده است.
این مشکل با شناسه CVE-2023-2721 ردیابی شده و توسط محقق Qihoo 360 گوانگ گونگ گزارش شده است، این مشکل به عنوان یک نقص بدون استفاده در ناوبری توصیف شده است.
یک مهاجم با سوءاستفاده از این آسیبپذیری میتواند از راه دور یک صفحه HTML ایجاد کند تا وقتی کاربر به صفحه دسترسی پیدا میکند، یک در پشتی ایجاد کند. مهاجم باید کاربر را متقاعد کند که از صفحه بازدید کند.
آسیبپذیریهای استفاده پس از آزادسازی (Use-after-free)، باگهای تخریب حافظه هستند و زمانی رخ میدهند که نشانگر پس از آزاد شدن تخصیص حافظه پاک نشود که میتواند منجر به اجرای کد دلخواه، انکار سرویس یا خرابی داده شود.
در کروم، مشکلات استفاده پس از استفاده رایگان میتوانند برای فرار از جعبه ایمنی مرورگر مورد سوءاستفاده قرار گیرند، که همچنین لازم است مهاجم یک آسیبپذیری را در سیستم اصلی یا در فرآیند مرورگر کروم هدف قرار دهد.
آخرین بهروزرسانی کروم سه نقص امنیتی دیگر را نیز برطرف میکند که همه آنها دارای درجه «بالا» بودند. این آسیبپذیریها بر رابط کاربری تکمیل خودکار مرورگر، ابزارهای توسعهدهنده و مؤلفههای Guest View تأثیر میگذارند.
نسخه جدید این مرورگر همچنین یک اشکال سردرگمی با شدت بالا در موتور جاوا اسکریپت V8 و یک مشکل اجرای نامناسب با شدت متوسط در نصبهای وباپلیکیشن را برطرف میکند.
گوگل میگوید ۱۱۵۰۰ دلار جایزه باگ به محققان گزارشدهنده پرداخت کرده است. با این حال، این شرکت هنوز مبالغی را که باید برای دو مورد از آسیبپذیریها از جمله آسیبپذیری با شدت بحرانی پرداخت شود، تعیین نکرده است و مبلغ نهایی ممکن است بیشتر باشد.
جدیدترین نسخه کروم اکنون به عنوان نسخه ۱۱۳.۰.۵۶۷۲.۱۲۶ برای macOS و لینوکس و به عنوان نسخه ۱۱۳.۰.۵۶۷۲.۱۲۶/.۱۲۷ برای Windows در دسترس است.
منبع: افتانا