سه آسیبپذیری با شدت بالا در Google Chrome کشف شدهاند که جزئیات آن به شرح ذیل میباشد:
CVE-2024-2173: با شدت 8.8 یک آسیبپذیری دسترسی به حافظهی خارج از محدوده در V8 در Google Chrome میباشد که به یک مهاجم از راه دور این امکان را خواهد داد تا به حافظهی خارج از محدوده از طریق یک صفحه HTML جعلی دسترسی پیدا کند. V8 یک موتور JavaScript و WebAssembly رایگان و Open Source است که توسط Chromium Project برای مرورگرهای وب Chromium و Google Chrome توسعه یافته است.
CVE-2024-2174: این آسیبپذیری با شدت 8.8 مربوط به پیادهسازی نامناسب در V8 میباشد و موجب میشود مهاجم از راه دور بتواند با استفاده از یک صفحه جعلی HTML به صورت بالقوه حافظه heap را تخریب کند. حافظه Heap یک مخزن حافظه آزاد است که برای تخصیص حافظه پویا در یک برنامه مورد استفاده قرار میگیرد.
CVE-2024-2176: این آسیبپذیری با شدت 8.8 در Google Chrome، مربوط به use-after-free در FedCM میباشد و مشابه آسیبپذیری با شناسه CVE-2024-2174، امکان تخریب بالقوهی حافظه heap را از طریق یک صفحه جعلی HTML به مهاجم از راه دور خواهد داد. FedCM یک API مدیریت احرازهویت یکپارچه است که یک رویکرد حفظ حریم خصوصی برای خدمات هویتی (مانند "ورود به سیستم") میباشد و به موجب آن کاربران میتوانند بدون به اشتراک گذاشتن اطلاعات شخصی خود با سرویس، وارد سایتها شوند.
محصولات تحت تأثیر
کلیه آسیبپذیریهای مذکور، نسخه 122.0.6261.111 مرورگر Google Chrome و قبلتر را تحت تأثیر خود قرار میدهد.
توصیههای امنیتی
به کاربران توصیه میشود در اسرع وقت مرورگر خود را به نسخه 122.0.6261.112 ارتقاء دهند.
منابع خبر:
[1]https://nvd.nist.gov/vuln/detail/CVE-2024-2173
[2]https://nvd.nist.gov/vuln/detail/CVE-2024-2174
[3]https://nvd.nist.gov/vuln/detail/CVE-2024-2176
[4]https://chromereleases.googleblog.com/2024/03/stable-channel-update-for-desktop.html
[5]https://www.tenable.com/cve/CVE-2024-2173
- 111