انتشار شده در تاریخ 1401/09/15 - 10:48

اصلاح نقص امنیتی شدید توسط گوگل کروم

گوگل یک به‌روزرسانی امنیتی درباره نقصی که می‌گوید در حال حاضر مورد سوءاستفاده قرار گرفته است، صادر خواهد کرد.

به گزارش کارگروه امنیت سایبربان؛ گوگل یک به‌روزرسانی امنیتی برای کروم منتشر کرده است که از کاربران در برابر یک آسیب‌پذیری جدید و شدید در این مرورگر محافظت خواهد کرد و هشدار داده شده است که از این آسیب‌پذیری قبلاً توسط مهاجمان سایبری سوءاستفاده شده است.

به‌روزرسانی کانال پایدار برای گوگل کروم در رایانه‌های رومیزی برای نسخه‌های ویندوز، مک و لینوکس از مرورگر خواهد بود. توصیه شده است که کاربران در اسرع وقت این به‌روزرسانی امنیتی را اعمال کنند؛ کاری که گوگل کروم به‌طور خودکار هنگامی که مرورگر بسته و دوباره باز می‌شود، انجام می‌دهد.

این به‌روزرسانی CVE-2022-4262 را برطرف می‌کند، آسیب‌پذیری شدیدی که به مهاجم از راه دور اجازه می‌دهد تا به‌طور بالقوه از یک مشکل "سردرگمی گونه" (Type Confusion) در موتور جاوا اسکریپت گوگل ورژن 8، با ایجاد خرابی هیپ (Heap) از طریق یک صفحه HTML ساخته‌شده، سوءاستفاده کند.

«هیپ» ناحیه‌ای از حافظه از پیش رزرو شده رایانه است که یک برنامه از آن برای ذخیره مقدار متغیر داده استفاده می‌کند و خرابی هیپ زمانی رخ می‌دهد که یک برنامه به نمای آن آسیب می‌رساند که می‌تواند منجر به نقص حافظه شود و در نتیجه می‌تواند توسط مهاجمان مورد سوءاستفاده قرار بگیرد.

گوگل اعلام می‌کند که آگاه است که یک بدافزار برای CVE-2022-4262 فعال است یا به‌عبارت‌دیگر، به‌طور فعال توسط مجرمان سایبری برای تقویت کمپین‌های هک مخرب استفاده می‌شود، اما هنوز هیچ اطلاعاتی در مورد چگونگی این اتفاق ارائه نکرده است و پیشنهاد می‌کند که در برابر راه‌های استفاده از آن توسط مهاجمان قبل از محافظت از کاربران، احتیاط‌های لازم مدنظر قرار بگیرند.

گوگل در این به‌روزرسانی همچنین می‌گوید که دسترسی به جزئیات اشکال و پیوندها ممکن است تا زمانی که اکثر کاربران با یک اصلاح به‌روزرسانی شوند، محدود شود. همچنین اگر اشکال در کتابخانه شخص ثالثی وجود داشته باشد که پروژه‌های دیگر به طور مشابه به آن وابسته هستند، اما هنوز برطرف نشده‌اند، محدودیت‌ها را حفظ خواهد کرد.

این آسیب‌پذیری توسط کلمنت لجین از گروه تحلیل تهدیدات گوگل کشف شده و نشان دهنده آخرین سری نقص امنیتی در گوگل کروم است که در طول امسال کشف و اصلاح شده است.

ازجمله‌ی این سری آسیب‌پذیری‌ها می‌توان به CVE-2022-4135، آسیب‌پذیری که در اواخر نوامبر ظاهرشده و قبلاً به‌طور فعال مورد سوءاستفاده قرار می‌گرفته است، همچنین نقص‌های امنیتی که در سپتامبر ظاهرشده و مجموعه‌ای از آسیب‌پذیری‌های مهم که در جولای ظاهرشده بودند، اشاره کرد.

به‌روزرسانی که آخرین نقص را برطرف می‌کند - 108.0.5359.94 برای مک و لینوکس و 108.0.5359.94/.95 برای ویندوز - اکنون در حال ارائه است و به کاربران توصیه می‌شود آن را اعمال کنند.