انتشار وصله امنیتی برای آسیبپذیری روز صفرم گوگل کروم
به گزارش کارگروه فناوری اطلاعات سایبربان ؛ گوگل به روزرسانی جدیدی برای مرورگر کروم برای کاربران دسکتاپ منتشر کرده است. نسخه جدید این مرورگر (80.0.3987.122) سه آسیبپذیری مهم را برطرف میکند که یکی از آنها با شناسه CVE-2020-6418 توسط مهاجمان نیز مورد بهرهبرداری قرار گرفته بود. خلاصهای از سه آسیب پذیری برطرف شده به شرح زیر است:
- سرریز داخلی در ICU
- دسترسی خارج از محدودهی حافظه در جریانها (CVE-2020-6407)
- Type confusion در V8 با شناسه CVE-2020-6418
مهاجم با بهرهبرداری از آسیبپذیریهای سرریز داخلی و دسترسی خارج از محدودهی حافظه میتواند سیستم آلوده قربانی را تحت کنترل بگیرد؛ به طوری که با فریب کاربر برای بازدید از یک سایت مخرب که از بهرهبرداری دو آسیب پذیری مذکور کمک میگیرد امکان اجرای کد دلخواه در سیستم قربانی وجود دارد.آسیبپذیری Type confusion نیز در موتور تفسیر جاوااسکریپ V8 وجود داشت که همزمان بصورت فعال مورد بهرهبرداری مهاجمان قرار گرفته بود. لازم به ذکر است که جزییات فنی این آسیبپذیری تا کنون به صورت دقیق منتشر نشده است.
آسیبپذیری سرریز داخلی توسط André Bargull کشف و بصورت خصوصی به گوگل گزارش شده بود درحالیکه دو آسیبپذیری دیگر توسط تیم امنیتی گوگل شناسایی شده بودند.
گوگل جزییات سه آسیبپذیری مذکور را منتشر نکرده است تا کاربرانی که تحت تاثیر این آسیبپذیریها هستند به روزرسانی منتشر شده را دریافت کنند.
