کشف پنجمین آسیب پذیری روز صفر در مرورگر Chrome در سال ۲۰۲۴

گوگل، نهم مِی ۲۰۲۴، اعلام کرد که به زودی به‌ روزرسانی‌ های‌ امنیتی برای رفع آسیب پذیری روز صفر (CVE-2024-4671) در مرورگر Chrome خود منتشر خواهد کرد.

این غول فناوری اذعان داشت که از وجود یک اکسپلویت (سوء استفاده) برای CVE-2024-4671 آگاه می‌باشد و این آسیب پذیری تاکنون مورد سوء استفاده فعال قرار گرفته است.

آسیب ‌پذیری مورد نظر، یک باگ ” use after free” ( یا UAF) در کامپوننت Visuals می‌باشد که رندر و نمایش محتوا در مرورگر را کنترل می‌کند. CVE-2024-4671 توسط یک محقق ناشناس کشف و به گوگل گزارش شده است.

باگ use after free، یک آسیب پذیری مربوط به استفاده نادرست از حافظه پویا در طول عملیات برنامه می‌باشد. چنانچه برنامه پس از آزاد سازی یک مکان حافظه، پوینترِ آن حافظه را پاک نکند، مهاجم خواهد توانست از خطا برای هک کردن برنامه استفاده نماید.

از آنجایی که حافظه آزاد شده اکنون می‌تواند حاوی داده‌های متفاوتی باشد یا توسط نرم ‌افزار یا سایر کامپوننت ها مورد استفاده قرار گیرد، دسترسی به آن می‌تواند منجر به انتشار داده، اجرای کد یا کرش (crash) شود.

گوگل با انتشار نسخه 124.0.6367.201/.202 برای سیستم عامل‌های ویندوز و مک و نسخه 124.0.6367.201 برای لینوکس، این باگ را برطرف ساخته است. به‌روزرسانی‌ها طی روزها/هفته‌های آتی منتشر خواهند شد.

نسخه‌های به روزرسانی برای کاربران کانال ” Extended Stable” نیز در ورژن 124.0.6367.201 برای سیستم عامل‌های ویندوز و مک در دسترس قرار خواهند گرفت.

این (CVE-2024-4671)، پنجمین آسیب ‌پذیری روز صفر در مرورگر Chrome می‌باشد که گوگل از ابتدای سال تاکنون به آن پرداخته است. چهار آسیب ‌پذیری دیگر به شرح زیر می‌باشند:

• CVE-2024-0519: یک نقص امنیتی با شدت بالا به منظور دسترسی به حافظه خارج از محدوده در موتور جاوا اسکریپت V8 مرورگر Chrome میباشد. این آسیب پذیری به مهاجمان از راه دور اجازه می‌دهد تا از کرش کردن پشته (heap)ها از طریق یک صفحه HTML ساخته شده ویژه سوء استفاده کنند که منجر به دسترسی غیرمجاز به اطلاعات حساس خواهد شد.
• CVE-2024-2887: یک آسیب پذیری type confusion با شدت بالا در استاندارد WebAssembly (Wasm) می‌باشد. این آسیب پذیری می‌تواند منجر به اجرای کد از راه دور (RCE) با استفاده از یک صفحه HTML دستکاری شده گردد.
• CVE-2024-2886:یک آسیب ‌پذیری use-after-free در WebCodecs API است که توسط اپلیکیشن های وب برای رمزگذاری و رمزگشایی صدا و تصویر استفاده می‌شود. مهاجمان از راه دور می‌توانند از این آسیب ‌پذیری  برای خواندن و نوشتن دلخواه توسط صفحات HTML دستکاری شده سوء استفاده کنند.  CVE-2024-2886 در نهایت منجر به اجرای کد از راه دور می‌شود.
• CVE-2024-3159: یک آسیب پذیری با شدت بالا می‌باشد که ناشی از خواندن خارج از محدوده (out-of-bounds read) در موتور جاوا اسکریپت V8 مرورگر Chrome است. مهاجمان از راه دور می‌توانند از این نقص با استفاده از صفحات HTML ساخته شده ویژه برای دسترسی به داده‌هایی فراتر از بافر حافظه اختصاص ‌یافته، سوء استفاده کنند. این آسیب پذیری منجر به کرش کردن پشته خواهد شد و می‌توان از آن برای استخراج اطلاعات حساس سوء استفاده کرد.

منابع