کشف آسیب‌پذیری در مرورگر گوگل کروم

دو آسیب‌پذیری با شدت بالا در مرورگر Google Chrome کشف شده است که شناسه‌های زیر را به خود اختصاص داده‌اند:
•    CVE-2024-0806
•    CVE-2024-0808

 این آسیب‌پذیری‌ها در WebUI مرورگر Google Chrome وجود دارند و به مهاجم اجازه می‌دهند تا کد دلخواه خود را در مرورگر اجرا کند. این آسیب‌پذیری زمانی رخ می‌دهد که یک وب‌سایت تعدادی داده با حجم زیاد به کتابخانه WebUI ارسال می‌کند. این امر می‌تواند باعث شود کتابخانه WebUI یک عدد صحیح را کمتر از مقدار واقعی آن تفسیر کند. مهاجمان می‌توانند از این آسیب‌پذیری برای اجرای کد دلخواه در مرورگر بهره‌برداری کنند. این کد می‌تواند برای سرقت اطلاعات، نصب نرم‌افزارهای مخرب یا کنترل مرورگر استفاده شود.

•    CVE-2024-0806
این آسیب‌پذیری مربوط به ماژول مدیریت رمزهای عبور مرورگر Chrome می‌باشد و می‌تواند توسط مهاجمان جهت اجرای کد از راه دور (remote attack) مورد سوء استفاده قرار گیرد و برای بهره‌برداری از آن، مهاجم باید یک صفحه وب مخرب ایجاد کند که حاوی کدی باشد که باعث استفاده مجدد از حافظه پس از آزادسازی شود. هنگامی که کاربر این صفحه وب مخرب را باز می‌کند، مرورگر Chrome آسیب‌پذیر، کد مخرب را اجرا می‌کند و به مهاجم اجازه می‌دهد کنترل سیستم کاربر را در دست بگیرد.

•    CVE-2024-0808
آسیب‌پذیری در کتابخانه WebUI مرورگر Google Chrome وجود دارد. این کتابخانه مسئول پردازش رابط‌های کاربری وب در Chrome می‌باشد. آسیب‌پذیری زمانی رخ می‌دهد که مهاجم بتواند یک مقدار عددی منفی را به یک متغیر عددی مثبت در کتابخانه WebUI بفرستد. این امر می‌تواند منجر به اجرای کد دلخواه توسط مهاجم شود.

محصولات تحت تاثیر
نسخه های 102.0.5005.115 و قبل‌تر مرورگر Chrome تحت تأثیر این آسیب‌پذیری قرار دارند.

توصیه‌های امنیتی
برای محافظت در برابر آسیب‌پذیری‌های مذکور کاربران باید مرورگر خود را به نسخه 103.0.5060.134 یا بالاتر به‌روزرسانی کنند. همچنین می‌توان از افزونه‌های امنیتی مانند uBlock Origin یا NoScript برای جلوگیری از ورودی‌های مخرب به مرورگر استفاده کرد.

منابع خبری:

[1] https://github.com/advisories/GHSA-f7x7-cw3q-5rm9
[2] https://socradar.io/new-apple-zero-day-in-webkit-received-a-fix-cve-2024-23222/