گوگل، سیزدهم مِی ۲۰۲۴، طی یک به روزرسانی امنیتی، آسیب پذیری روز صفر دیگری را در مرورگر Chrome برطرف کرد. آسیب پذیری مورد نظر، با شناسه CVE-2024-4761 دنبال میشود.
به روزرسانی اخیر، تنها سه روز پس از رفع یک آسیب پذیری روز صفر دیگر در Chrome (با شناسه CVE-2024-4671) رخ داد که ناشی از یک باگ ” use after free” (یا UAF) در کامپوننت Visuals بود.
CVE-2024-4761، یک باگ ” out-of-bounds write” یا نوشتن خارج از محدوده است که بر موتور جاوا اسکریپت V8 کروم، که مسئول اجرای کد JS در برنامه است، تأثیر میگذارد.
باگ out-of-bounds write زمانی رخ میدهد که به برنامه اجازه داده میشود تا دادهها را خارج از آرایه یا بافر مشخص شده بنویسد. این باگ منجر به دسترسی غیرمجاز به داده، اجرای کد دلخواه یا کرش کردن برنامه میشود. گوگل اعلام کرده است که از یک سوء استفاده برای CVE-2024-4761 آگاه است.
گوگل، این آسیب پذیری را با انتشار نسخه 124.0.6367.207/.208 برای سیستم عاملهای مک و ویندوز و همچنین نسخه 124.0.6367.207 برای لینوکس برطرف کرده است. بهروزرسانیها طی روزها/هفتههای آینده برای همه کاربران در دسترس قرار خواهند گرفت.
نسخه به روزرسانی برای کاربران کانال ” Extended Stable” نیز در ورژن 124.0.6367.207 برای سیستم عاملهای ویندوز و مک در دسترس قرار خواهد گرفت.
این (CVE-2024-4761) ششمین آسیب پذیری روز صفر در مرورگر Chrome میباشد که گوگل از ابتدای سال تاکنون به آن پرداخته است. پنج آسیب پذیری دیگر به شرح زیر میباشند:
- CVE-2024-0519: یک نقص امنیتی با شدت بالا به منظور دسترسی به حافظه خارج از محدوده در موتور جاوا اسکریپت V8 مرورگر Chrome میباشد. این آسیب پذیری به مهاجمان از راه دور اجازه میدهد تا از کرش کردن پشته (heap)ها توسط یک صفحه HTML ساخته شده ویژه سوء استفاده کنند که منجر به دسترسی غیرمجاز به اطلاعات حساس خواهد شد.
- CVE-2024-2887: یک آسیب پذیری type confusion با شدت بالا در استاندارد WebAssembly (Wasm) میباشد. این آسیب پذیری میتواند منجر به اجرای کد از راه دور (RCE) با استفاده از یک صفحه HTML دستکاری شده گردد.
- CVE-2024-2886: یک آسیب پذیری use-after-free در WebCodecs API است که توسط اپلیکیشن های وب برای رمزگذاری و رمزگشایی صدا و تصویر استفاده میشود. مهاجمان از راه دور میتوانند از این آسیب پذیری برای خواندن و نوشتن دلخواه توسط صفحات HTML دستکاری شده سوء استفاده کنند. CVE-2024-2886 در نهایت منجر به اجرای کد از راه دور میشود.
- CVE-2024-3159: یک آسیب پذیری با شدت بالا میباشد که ناشی از خواندن خارج از محدوده (out-of-bounds read) در موتور جاوا اسکریپت V8 مرورگر Chrome است. مهاجمان از راه دور میتوانند از این نقص با استفاده از صفحات HTML ساخته شده ویژه برای دسترسی به دادههایی فراتر از بافر حافظه اختصاص یافته، سوء استفاده کنند. این آسیب پذیری منجر به کرش کردن پشته خواهد شد و میتوان از آن برای استخراج اطلاعات حساس سوء استفاده کرد.
- CVE-2024-4671: یک نقص امنیتی با شدت بالا در کامپوننت Visuals است که وظیفه رندر و نمایش محتوا در مرورگر را بر عهده دارد.
