مقدمه
گوگل یک آسیبپذیری روزصفر را در مرورگر کروم برطرف نمود. این آسیبپذیری هشتمین مورد از آسیبپذیریهای روزصفر کروم است که در سال جاری به طور فعال مورد بهرهبرداری قرار گرفته است.
جزئیات آسیبپذیری
این آسیبپذیری با شناسهی CVE-2022-4135 و شدت بالا، یک نقص سرریز بافر هیپ در GPU است که در ۲۲ نوامبر ۲۰۲۲، توسط Clement Lecigne از گروه تحلیل تهدیدات گوگل گزارش شد. طبق معمول، گوگل جزئیات فنی مربوط به این آسیبپذیری را به اشتراک نمیگذارد تا کاربران فرصت لازم برای بهروزرسانی مرورگر خود را داشته باشند. از آنجا که گوگل از اکسپلویت موجود برای این نقص مطلع است، به همین دلیل دسترسی به جزئیاتِ نقص و لینکهای مربوطه را تا زمانی که اکثر کاربران بهروزرسانی را انجام نداده باشند محدود میکند. همچنین اگر این نقص در یک کتابخانهی شخص ثالث وجود داشته باشد که پروژههای مشابهی به آن وابسته باشند و هنوز برطرف نشده باشد، محدودیت دسترسیها حفظ خواهند شد. مهاجم میتواند از این نقص برای به دست آوردن امکان اجرای کد دلخواه در سیستمهایی که از نسخههای آسیبپذیر مرورگر استفاده میکنند سوءاستفاده نماید.
محصولات تحت تأثیر
این آسیبپذیری مرورگر کروم نسخههای قبل از 107.0.5304.121 در لینوکس و مک و قبل از 122./107.0.5304.121 را در ویندوز تحت تأثیر قرار میدهد.
توصیههای امنیتی
این آسیبپذیری در کروم نسخهی 107.0.5304.121 برای لینوکس و مک و در نسخهی 122./107.0.5304.121 برای ویندوز برطرف شده است.
منابع خبر
[1] https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
[2] https://securityaffairs.co/wordpress/138977/hacking/8-google-chrome-zero-day.html
- 362