گزارشی از بهروزرسانی امنیتی کروم توسط گوگل ارائه شده است. این بهروزرسانی شامل رفع 6 آسیبپذیری مختلف در کروم است که یک مورد از آنها، آسیبپذیری روز صفر است. در ادامه، توضیحات هر یک از آسیبپذیریها ارائه شده است:
- آسیبپذیری CVE-2023-6345
این آسیبپذیری با شناسه CVE-2023-6345و شدت بحرانی با CVSS 9.6 ردیابی میشود.
این آسیبپذیری ناشی از ضعف سرریزinteger در کتابخانه گرافیکی 2D منبع باز Skia است. Skia همچنین به عنوان موتور گرافیکی توسط سایر محصولات مانند ChromeOS، اندروید و فلاتر استفاده میشود. مهاجم با بهرهبرداری از این آسیبپذیری میتواند کد دلخواه خود را اجرا کرده و باعث خرابی سیستم شود.
- آسیبپذیری CVE-2023-6348
این آسیبپذیری که با شناسه CVE-2023-6348 و شدت بالا با CVSS 8.8 شناسایی شده است، از نوع Type Confusion و در Spellcheck رخ داده است.
- آسیبپذیری CVE-2023-6347
این آسیبپذیری با شناسه CVE-2023-6347 و شدت بالا با CVSS 8.8 شناسایی شده است. این آسیبپذیری از نوع Use after free در Mojo رخ داده است.
- آسیبپذیری CVE-2023-6346
این آسیبپذیری با شناسه CVE-2023-6346 و شدت بالا با CVSS 8.8، از نوع Use after free در WebAudio گزارش شده است.
- آسیبپذیری CVE-2023-6350
این آسیبپذیری با شناسه CVE-2023-6350 و شدت بالا با CVSS 8.8 ردیابی میشود و از نوع Out of bounds memory access در libavif است.
- آسیبپذیری CVE-2023-6351
این آسیبپذیری که با شناسه CVE-2023-6351 و شدت بالا با CVSS 8.8 شناسایی شده است، از نوع Use after free در libavif است.
توصیههای امنیتی
آسیبپذیری مذکور برای کاربران ویندوز در نسخه 119.0.6045.199 و برای کاربران مک و لینوکس در نسخه 119.0.6045.199 وصله شده است. به کاربران توصیه میشود مرورگر کروم را به آخرین نسخههای منتشر شده بهروزرسانی کنند.
منبع خبر:
[1] https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
- 110