وصله‌های امنیتی جدید Google برای رفع آسیب‌پذیری Zero-Day در مرورگر Chrome

Google به تازگی وصله‌های امنیتی جدیدی را برای رفع آسیب‌پذیری Zero-Day جدید در مرورگر وب Chrome خود منتشر کرد.

Google با انتشار پستی در یک بولتن امنیتی، آسیب‌پذیری CVE-2022-4135 این مرورگر با شدت بالا را به عنوان یک سرریز بافر (Buffer Overflow) در مؤلفه واحد پردازش گرافیکی (GPU) توصیف کرد.

Google کشف این آسیب‌پذیری را به Clement Lecigne از گروه تحلیل تهدیدات خود (TAG) نسبت داد و گفت که این محقق این کشف را در ۲۴ نوامبر انجام داده است.

این آسیب پذیری جدید هشتمین آسیب‌پذیریZero-Day است که توسط Google برای نسخه دسکتاپ مرورگر وب Chrome برطرف شده است.

این شرکت به کاربران توصیه می‌کند که نسخه 122./107.0.5304.121 برای ویندوز و 107.0.5304.121 برای مک و لینوکس را ارتقا دهند. مرورگرهای مبتنی بر کروم مانند Microsoft Edge، Brave، Opera و Vivaldi نیز باید برای اعمال اصلاحات به محض در دسترس قرار گرفتن، به‌روزرسانی شوند.

Google همچنین در حال حاضر جزئیات مربوط به این آسیب‌پذیری را برای جلوگیری از گسترش بهره‌برداری مخرب خود مخفی می‌کند.

در حالی که دامنه کامل این آسیب‌پذیری در حال حاضر ناشناخته است، این نوع آسیب‌پذیری معمولاً می‌تواند عاملان تهدید را قادر به خراب کردن داده‌ها و اجرای کد از راه دور بر روی دستگاه قربانی کند.

در واقع، به گفته آژانس ملی استانداردها و فناوری دولت ایالات متحده (NIST)، آسیب‌پذیری CVE-2022-4135 به مهاجمی از راه دور که فرآیند رندر را به خطر انداخته است، اجازه می‌دهد تا به طور بالقوه یک فرار از sandbox را از طریق یک صفحه HTML ساخته شده انجام دهد.

وصله های آسیب پذیری باید به طور خودکار اعمال شوند. اگر به دلیل تنظیمات سیستم اینطور نیست، کاربران می‌توانند مرورگر Chrome خود را با کلیک بر روی سه نقطه عمودی در گوشه سمت راست بالا و رفتن به «Help» و سپس «About Google Chrome» ارتقا دهند. سپس مرورگر به طور خودکار 107.0.5304.121 را بررسی و دانلود می‌کند و از کاربران می‌خواهد که مرورگر خود را مجدداً راه‌اندازی کنند.

برخی دیگر از آسیب‌پذیری‌های Zero-Day که امسال توسط گوگل کشف شد، شامل  CVE-2022-2294 است که این شرکت در ماه جولای آن را اصلاح کرد.

منبع:

https://www.infosecurity-magazine.com/news/chrome-patch-fix-zero-day/