کشف دو آسیب‌پذیری در مرورگر Google Chrome

• یک آسیب‌پذیری با شناسه CVE-2024-4671 و شدت 8 در مؤلفه‌ی Visual مرورگر گوگل کروم کشف شده است که به مهاجم اجازه می‌دهد از طریق یک صفحه مخرب html که به صورت خاص منظوره طراحی شده است، منجر به بهره‌برداری از Heap شود. بهره‌برداری موفق آمیز آسیب‌پذیری مذکور، می‌تواند منجر به اجرای کد دلخواه توسط مهاجمی که به سیستم وارد شده است، شود و وی می‌تواند بسته به سطح دسترسی خود، اقدام به نصب برنامه، مشاهده، تغییر یا حذف داده‌ها و یا ایجاد حساب‌های کاربری جدید با سطح دسترسی بالا کند.
   
• آسیب‌پذیری دیگری با شناسه CVE-2024-4761 و شدت بالا 7.7 در مرورگر Google Chrome به‌دلیل نوشتن خارج از محدوده در  V8امکان نوشتن خارج از محدوده در حافظه از طریق یک صفحه HTML دستکاری شده را برای مهاجم از راه دور فراهم می‌آورد. مهاجم بدون نیاز به احرازهویت، می‌تواند از راه دور قربانی را جهت بازدید از یک وب‌سایت خاص متقاعد کرده و از آسیب‌پذیری مذکور، جهت اجرای کد دلخواه در سیستم بهره‌برداری کند. 

محصولات تحت تأثیر
شناسه CVE-2024-4671:
•    تمامی نسخه‌های قبل از 124.0.6367.201/.202 مرورگر گوگل کروم ویندوز آسیب‌پذیر هستند.
•    تمامی نسخه‌های قبل از 124.0.6367.201/.202 مرورگر گوگل کروم سیستم‌عامل مک آسیب‌پذیر هستند.
•    تمامی نسخه‌های قبل از 124.0.6367.201 مرورگر گوگل کروم لینوکس آسیب‌پذیر هستند.
شناسه CVE-2024-4761:
این آسیب‌پذیری، مرورگر  Google Chrome نسخه (124.0.6367.179) 124 را تحت تاثیر قرار می‌دهد. 

توصیه‌های امنیتی
شناسه CVE-2024-4671:
اعمال به‌روزرسانی به نسخه‌های 124.0.6367.201/202 برای سیستم‌عامل مک و ویندوز و همچنین اعمال به‌روزرسانی به نسخه 124.0.6367.201 برای سیستم‌عامل لینوکس منجر به رفع این آسیب‌پذیری خواهد شد.
شناسه CVE-2024-4761:
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Google Chrome به نسخه 124.0.6367.207 یا نسخه  124.0.6367.208 و یا بالاتر اقدام نمایند.

منابع خبر:

[1]https://digital.nhs.uk/cyber-alerts/2024/cc-4488#summary

[2] https://chromereleases.googleblog.com/