انتشار به‌روزرسانی امنیتی فوری برای گوگل‌کروم

گوگل به‌تازگی یک به‌روزرسانی امنیتی اضطراری جدید برای مرورگر کروم منتشر کرده است تا پنجمین آسیب‌پذیری روز-صفر (Zero-Day) با شناسه CVE-2023-5217 و شدت 8.8 (بالا) در این مرورگر را در سال جاری برطرف کند. این آسیب‌پذیری بسیار مشکل‌آفرین است، زیرا هکرها یک راه برای بهره‌برداری از آن در حملات خود ابداع کرده‌اند لذا ضروری است کاربران در اسرع وقت اقدام به به‌روزرسانی مرورگرکروم خود کنند.
تیم کروم شرکت گوگل در یک اعلان امنیتی توضیح داد آخرین نسخه از مرورگر خود (نسخه 117.0.5938.132) برای ویندوز، مک و لینوکس شامل 10 اصلاح امنیتی است تا سه آسیب‌پذیری با شدت بالا را برطرف کند. ممکن است چند روز یا حتی چند هفته طول بکشد تا این به‌روزرسانی امنیتی اضطراری به همه کاربران کروم ارائه شود.
از میان سه آسیب‌پذیری مورد توجه در این به‌روزرسانی امنیتی اضطراری، CVE-2023-5217  ناشی از ضعف (heap buffer overflow) در رمزگذاری VP8 در libvpx است.
این نقص توسط کلمنت لسین، محقق امنیتی گروه تجزیه و تحلیل تهدید گوگل (TAG)  در روز دوشنبه، 25 سپتامبر 2023 گزارش شد. محققان Google TAG که در زمینه یافتن و گزارش بهره‌برداری‌های روز صفر در حملات هدفمند نرم‌افزارهای جاسوسی که توسط مهاجمان تحت حمایت دولت‌ها و گروه‌های هکری فعالیت می‌کنند فاش کردند که آسیب‌پذیری مذکور جهت نصب نرم‌افزارهای جاسوسی مورد بهره‌برداری قرار گرفته است.
پیش از این Google TAG به همراه محققان آزمایشگاه Citizen، فاش کردند که سه حمله روز صفر دیگر توسط شرکت اپل در پنجشنبه گذشته وصله شده که این حملات جهت نصب نرم‌افزار جاسوسی Cytrox's Predator  بین ماه مه و سپتامبر 2023 مورد استفاده قرار گرفته بودند.
گوگل دو هفته پیش‌تر، یک حمله روز صفر دیگر (چهارمین مورد از ابتدای سال) با شناسه CVE-2023-4863 را نیز رفع کرد. اگرچه در ابتدا این مشکل به عنوان یک نقص مرورگر کروم معرفی شد، لیکن در مرحله بعد،  یک CVE دیگر با شناسه CVE-2023-5129) و شدت بحرانی 10 به این نقص اختصاص داده شد و به عنوان یک آسیب‌پذیری امنیتی مهم در کتابخانه libwebp دسته‌بندی شد. این کتابخانه‌ توسط تعداد زیادی محصول از جمله Signal، 1Password، Mozilla Firefox، Microsoft Edge، و Safari Apple و همچنین مرورگر اصلی وب اندروید مورد استفاده قرار می‌گیرد.

توصیه‌های امنیتی
همانند بسیاری از آسیب‌پذیری‌های روزصفر اخیری که توسط شرکت اپل برطرف شده‌اند، مهم‌ترین کاری که می‌توانید در این وضعیت انجام دهید، به‌روزرسانی کروم به نسخه 117.0.5938.132 است.
 همچنین جهت بررسی دستی به‌روزرسانی‌ها می‌توانید بر روی منوی سه نقطه کلیک کنید، تنظیمات را باز کرده و سپس به قسمت درباره کروم بروید. گوگل همچنین از یک سیستم هشدار با رنگ‌های متفاوت جهت اعلام در دسترس بودن به‌روزرسانی‌های جدید برای مرورگر خود استفاده می‌کند. این سیستم به‌صورت یک حباب نمایان می‌شود که در کنار نام کاربری شما قرار می‌گیرد و رنگ آن بر اساس زمان انتشار به‌روزرسانی تغییر می‌کند. حباب سبز به معنی این است که به‌روزرسانی دو روز قبل ارائه شده است، حباب نارنجی به‌معنی به‌روزرسانی چهار روز قبلی و حباب قرمز نمایش‌دهنده این است که به‌روزرسانی حداقل یک هفته پیش انتشار یافته است. اگر نیاز به کمک بیشتر دارید، می‌توانید به راهنمای به‌روزرسانی گوگل کروم مراجعه کنید.

شکل 1- علامت انتشار به‌روزرسانی درمرورگر گوگل کروم

شایان ذکر است که کاربران علاوه بر اعمال به‌روزرسانی، باید از یک آنتی‌ویروس نیز برای کامپیوتر یا دستگاه اندرویدی خود استفاده کنید چراکه با استفاده از آنتی‌ویروس و همچنین نصب به‌روزرسانی‌های امنیتی منتشر شده، می‌توانید از انواع حملات سایبری محافظت کنید.

منابع خبر:

[1] https://www.tomsguide.com/news/billions-at-risk-from-google-chrome-security-flaw-update-your-browse…
[2] https://www.bleepingcomputer.com/news/security/google-fixes-fifth-actively-exploited-chrome-zero-da…
[3] https://thehackernews.com/2023/09/update-chrome-now-google-releases-patch.html?m=1