کمیته رکن چهارم – کارشناسان امنیت سایبری یک آسیبپذیری بحرانی روز صفر در مرورگر گوگل کروم کشف کردهاند.
گوگل بهروزرسانیهای امنیتی اضطراری را برای رفع چهارمین آسیبپذیری روز صفر کروم منتشر کرد که از ابتدای سال تاکنون مورد بهرهبرداری قرار گرفته است.
یک آسیبپذیری که با عنوان CVE-2023-4863 بحرانی طبقه بندی شده است، در گوگل کروم (مرورگر وب) یافت شد که بر بلوک کد ناشناخته مؤلفه WebP تأثیر میگذارد.
آسیبپذیری بحرانی روز صفر (CVE-2023-4863) ناشی از ضعف سرریز پشتهای بافر کتابخانه کد WebP (libwebp) است که تأثیر آن از خرابی تا اجرای کد متغیر است.
این آسیبپذیری به مهاجم راه دور اجازه میدهد، از طریق یک صفحه HTML دستکاری شده، نوشتن حافظه خارج از محدوده را انجام دهد.
دستکاری با یک ورودی ناشناخته منجر به آسیبپذیری سرریز مبتنی بر پشته میشود.
شرایط سرریز پشته یک سرریز بافر است که در آن بافری که میتوان رونویسی کرد، در قسمت پشته حافظه تخصیص داده می شود. به طور کلی به این معنی که بافر با استفاده از روتینی مانند malloc() تخصیص داده شده است.
مرورگر وب همچنین بهروزرسانیهای جدید را بررسی میکند و بهطور خودکار بدون نیاز به تعامل کاربر پس از راهاندازی مجدد، آنها را نصب میکند.
این آسیبپذیری توسط Apple Security Engineering and Architecture (SEAR) و The Citizen Lab در دانشکده Munk دانشگاه تورنتو در چهارشنبه گذشته، ۶ سپتامبر گزارش شده است.
کاربران کروم میتوانند مرورگرهای خود را برای خنثی کردن حملات قبل از انتشار مشخصات فنی اضافی بهروزرسانی کنند.
این آسیبپذیری در Google Chrome قبل از نسخه ۱۱۶٫۰٫۵۸۴۵٫۱۸۷ تاثیرگذار بوده است.
ارتقاء به نسخه ۱۱۶٫۰٫۵۸۴۵٫۱۸۷ این آسیب¬پذیری را از بین میبرد.
منبع: افتانا