گوگل روز جمعه یک به روزرسانی امنیتی را برای رفع یک آسیب پذیری High-Severity در مرورگر Chrome خود ارسال کرد که به گفته آن ها به طور فعال مورد سوء استفاده قرار می گیرد.
نقص Zero-Day که به عنوان CVE-2022-1096 شناخته می شود، به یک آسیب پذیری Type Confusion در موتور جاوا اسکریپت V8 مربوط می شود. یک محقق ناشناس مسئول گزارش این اشکال در 3 فروردین ماه 1401 است.
خطا های Type Confusion، که وقتی به یک منبع (به عنوان مثال، یک متغیر یا یک شی) با استفاده از نوعی ناسازگار با آنچه در ابتدا مقدار دهی شده بود دسترسی پیدا می کند، ایجاد می شود، می تواند عواقب جدی در زبان هایی داشته باشد که Memory Safe نیستند مانند C و C++.
Memory Safe حالتی است که از اشکالات نرم افزاری مختلف و آسیب پذیری های امنیتی هنگام مواجهه با دسترسی به حافظه محافظت می شود، مانند Buffer Overflows و Dangling Pointers.
زمانی که بافر حافظه با استفاده از نوع نامناسب دسترسی پیدا می کند، می تواند حافظه را خارج از محدوده بافر بخواند یا بنویسد، اگر بافر اختصاص داده شده کوچکتر از نوعی باشد که کد سعی می کند به آن دسترسی پیدا کند، که منجر به Crash و احتمالاً Code Execution می شود.
این غول فناوری اذعان کرد که “آگاه است که یک Exploit برای CVE-2022-1096 وجود دارد”، اما از اشتراک گذاری مشخصات اضافی برای جلوگیری از بهره برداری بیشتر تا زمانی که اکثر کاربران با یک Fix به روزرسانی شوند، خودداری کرد.
CVE-2022-1096 دومین آسیب پذیری Zero-Day است که توسط Google در Chrome از ابتدای سال برطرف شده است، اولین آسیب پذیری CVE-2022-0609، یک آسیب پذیری در Animation Component است که در 25 بهمن ماه 1400 اصلاح شد.
به کاربران Google Chrome به شدت توصیه می شود که برای کاهش هر گونه تهدید احتمالی، به آخرین نسخه 99.0.4844.84 برای Windows، Mac و Linux به روز رسانی کنند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Opera و Vivaldi توصیه می شود که به محض در دسترس شدن Fix ها، آن ها را اعمال کنند.
بدون دیدگاه