Blog News
کشف آسیبپذیري روز صفر در مرورگر گوگل کروم
کشف آسیبپذیري روز صفر در مرورگر گوگل کروم
شرکت گوگل اخیراً یک آسیبپذیری سطح بالا و از نوع روز صفر در مرورگر گوگل کروم را وصله نموده و به کاربران هشدار داده که این آسیبپذیری در حال بهره برداری در حملات سایبری میباشد. این شرکت با انتشار یک توصیهنامه امنیتی اعلام کرد که این آسیبپذیری که شناسه ٣٠٧٩-٢٠٢٣-CVE به آن اختصاص یافته است، یک آسیبپذیری Type Confusion در موتور رندرینگ جاوااسکریپت ٨V میباشد. در همین رابطه شرکت مایکروسافت نیز با توجه به اینکه کد پایه و اصلی مرورگر Edge این شرکت نیز مشابه با کد گوگل کروم است، در تلاش برای ارائه وصله امنیتی میباشد. حسب اطلاعات ارائه شده، در حال حاضر گوگل کروم تقریباً دو سوم از سهم بازار مرورگرها را در اختیار دارد این در حالی است که مرورگر Edgeمایکروسافت، صرفاً ٤ درصد از سهم بازار را در اختیار دارد.
گوگل اعلام کرده است که از بهره برداری از آسیبپذیری یاد شده در حملات سایبری اطلاع دارد و افزود که تا زمانی که بخش عمده کاربران این مرورگر وصله امنیتی منتشر شده را اعمال نمایند، از ارائه جزئیات بیشتر در خصوص آن، خودداری خواهد نمود. گفته شده این آسیبپذیری، نسخ قبلی نسخه شماره ١١4.٥٧٣٥.٠.١١0 کروم را تحت تأثیر قرار میدهد. لازم به ذکر است باگ امنیتی Type Confusion در زبانهای برنامهنویسی از جمله ++C که یک زبان V8 است، رخ میدهد؛ این مشکل زمانی رخ می دهد که یک نرم افزار، دادهای غیرمنتظره را به حافظه ارسال میکند . در همین رابطه اعلام شده است که باگ Type Confusion عمولاًم با موضوع Union Declaration ارتباط دارد که برنامهنویسان زبان برنامهنویسی C را قادر میسازد تا گونه های مختلفی از متغیرها را به یک محل یکسان در حافظه تخصیص دهند؛ استفاده از آن در زبان های فاقد قابلیت Memory Safety نظیر ++C، میتواند منجر به دسترسی فراتر از محدودیتهای تعیین شده به حافظه گردد .
گفتنی است این وصله امنیتی، دومین وصله امنیتی است که طی ماه های اخیر توسط گوگل برای مرتفع ساختن آسیبپذیری از نوع V8 Zero-Day ارائه میشود. در ماه آوریل سال جاری میلادی نیز گوگل اقدام مشابهی برای آسیبپذیری با شناسه ٢٠٣٣-٢٠٢٣CVE- انجام داد. در همین بازه زمانی، این شرکت یک وصله دیگر برای آسیبپذیری با شناسه ٢١٣٦-٢٠٢٣CVE- (مربوط به Skia که یک کتابخانه منبع باز و٢بعدی گرافیک توسعه داده شده توسط گوگل بوده و به زبان++ C نوشته شده است) منتشر ساخته بود.