#گوگل یک بهروزرسانی جدید جهت رفع سه نقص امنیتی در مرورگر کروم منتشر ساخته است که در آن یک آسیبپذیری روز صفرم را که تحت حملات فعال است، برطرف ساخته است.
این سه آسیبپذیری که در آخرین نسخهی کروم، 80.03987.122، برطرف شدهاند عبارتند از آسیبپذیری سرریز عدد صحیح در ICU ، دسترسی خارج از محدوده به حافظه در جریانها با شناسهی CVE-2020-6407 و آسیبپذیری به همریختگی نوع در V8 (مؤلفهای در کروم که مناسب پردازش کد جاوااسکریپت است) با شناسهی CVE-2020-6418.
آسیبپذیری به همریختگی نوع در V8، یک نقص روز صفرم است که متأسفانه پیش از آنکه گوگل آن را ردیابی و برطرف کند، توسط کلاهبردان مورد سوءاستفاده قرار گرفته است و تحت حملات فعال است.
به همریختگی نوع به اشکالات کدگذاری اشاره میکند که در طی آن، یک برنامه، عملیات اجرای دادهها را بااستفاده از ورودی یک «نوع» خاص مقداردهی اولیه میکند، اما به گونهای فریب میخورد که با ورودی به عنوان یک «نوع» متفاوت رفتار میکند. به همریختگی نوع منجر به خطاهای منطقی در حافظهی برنامهی کاربردی میشود و میتواند موقعیتی درست کند که مهاجم بتواند کد مخرب نامحدودی را درون یک برنامهی کاربردی اجرا کند. به گفتهی گوگل، اطلاعات فنی مربوط به این آسیبپذیری در حال حاضر محدود است.
سوءاستفادهی موفق از آسیبپذیریهای سرریز عدد صحیح و نوشتن خارج از محدوده، یک مهاجم راه دور را قادر میسازد تا یک سیستم آسیبپذیر را با فریبدادن کاربر به بازدید یک صفحه وب ساختگی خاص که از این سوءاستفاده برای اجرای کد دلخواه استفاده میکند، به خطر اندازد.
این بهروزرسانی برای کاربران ویندوز، MacOS و لینوکس موجود است؛ اما برای iOS، Chrome OS و اندروید هنوز وصله منتشر نشده است.
به کاربران ویندوز، لینوکس و MacOS توصیه میشود آخرین نسخهی کروم را با رفتن به قسمت Help-> About Chrome از منوی تنظیمات، دانلود و نصب کنند.
- 13