کشف‌ آسیب‌پذیري روز صفر در مرورگر گوگل‌ کروم

شرکت‌ گوگل‌ اخیراً یک‌ آسیب‌پذیری‌ سطح‌ بالا و از نوع روز صفر در مرورگر گوگل‌ کروم را وصله‌ نموده و به‌ کاربران هشدار داده که‌ این‌ آسیب‌پذیری‌ در حال بهره برداری‌ در حملات سایبری‌ می‌باشد. این‌ شرکت‌ با انتشار یک‌ توصیه‌نامه‌ امنیتی‌ اعلام کرد که‌ این‌ آسیب‌پذیری‌ که‌ شناسه‌ ٣٠٧٩-٢٠٢٣-CVE به‌ آن اختصاص یافته‌ است‌، یک‌ آسیب‌پذیری‌ Type Confusion در موتور رندرینگ‌ جاوااسکریپت‌ ٨V می‌باشد. در همین‌ رابطه‌ شرکت‌ مایکروسافت‌ نیز با توجه‌ به‌ اینکه‌ کد پایه‌ و اصلی‌ مرورگر Edge این‌ شرکت‌ نیز مشابه‌ با کد گوگل‌ کروم است‌، در تلاش برای‌ ارائه‌ وصله‌ امنیتی‌ می‌باشد. حسب‌ اطلاعات ارائه‌ شده، در حال حاضر گوگل‌ کروم تقریباً دو سوم از سهم‌ بازار مرورگرها را در اختیار دارد این‌ در حالی‌ است‌ که‌ مرورگر Edgeمایکروسافت‌، صرفاً ٤ درصد از سهم‌ بازار را در اختیار دارد.

گوگل‌ اعلام کرده است‌ که‌ از بهره برداری‌ از آسیب‌پذیری‌ یاد شده در حملات سایبری‌ اطلاع دارد و افزود که‌ تا زمانی‌ که‌ بخش‌ عمده کاربران این‌ مرورگر وصله‌ امنیتی‌ منتشر شده را اعمال نمایند، از ارائه‌ جزئیات بیشتر در خصوص آن، خودداری‌ خواهد نمود. گفته‌ شده این‌ آسیب‌پذیری‌، نسخ‌ قبلی‌ نسخه‌ شماره ١١4.٥٧٣٥.٠.١١0 کروم را تحت‌ تأثیر قرار می‌دهد. لازم به‌ ذکر است‌ باگ امنیتی‌ Type Confusion در زبانهای‌ برنامه‌نویسی‌ از جمله‌ ++C که‌ یک‌ زبان V8 است‌، رخ می‌دهد؛ این‌ مشکل‌ زمانی‌ رخ می‌ دهد که‌ یک‌ نرم افزار، دادهای‌ غیرمنتظره را به‌ حافظه‌ ارسال می‌کند . در همین‌ رابطه‌ اعلام شده است‌ که‌ باگ Type Confusion عمولاًم با موضوع Union Declaration ارتباط دارد که‌ برنامه‌نویسان زبان برنامه‌نویسی‌ C را قادر می‌سازد تا گونه‌ های‌ مختلفی‌ از متغیرها را به‌ یک‌ محل‌ یکسان در حافظه‌ تخصیص‌ دهند؛ استفاده از آن در زبان های‌ فاقد قابلیت‌ Memory Safety نظیر ++C، می‌تواند منجر به‌ دسترسی‌ فراتر از محدودیت‌های‌ تعیین‌ شده به‌ حافظه‌ گردد .

گفتنی‌ است‌ این‌ وصله‌ امنیتی‌، دومین‌ وصله‌ امنیتی‌ است‌ که‌ طی‌ ماه های‌ اخیر توسط‌ گوگل‌ برای‌ مرتفع‌ ساختن‌ آسیب‌پذیری‌ از نوع V8 Zero-Day ارائه‌ می‌شود. در ماه آوریل‌ سال جاری‌ میلادی‌ نیز گوگل‌ اقدام مشابهی‌ برای‌ آسیب‌پذیری‌ با شناسه‌ ٢٠٣٣-٢٠٢٣CVE- انجام داد. در همین‌ بازه زمانی‌، این‌ شرکت‌ یک‌ وصله‌ دیگر برای‌ آسیب‌پذیری‌ با شناسه‌ ٢١٣٦-٢٠٢٣CVE- (مربوط به‌ Skia که‌ یک‌ کتابخانه‌ منبع‌ باز و٢بعدی‌ گرافیک‌ توسعه‌ داده شده توسط‌ گوگل‌ بوده و به‌ زبان++  C نوشته‌ شده است‌) منتشر ساخته‌ بود.