گوگل بهروزرسانی اضطراری را برای رفع آسیبپذیری روز صفر در مرورگر کروم منتشر کرده است که در این صورت Pwn2Own ونکوور کشف شده بود.
به گزارش TechNock، گوگل آسیبپذیری روز صفر دیگری را در مرورگر کروم که توسط محققان امنیتی در مسابقه هک Pwn2Own در ماه گذشته کشف شد، برطرف کرده است. این آسیبپذیری که با نام CVE-2024-3159 شناسایی شده است، یک نقص مهم در موتور جاوا اسکریپت V8 کروم است که باعث خوانشهای خارج از محدوده میشود.
صدای کامپیوتر می آید این می گوید که مهاجمان از راه دور می توانند از این آسیب پذیری با استفاده از صفحات HTML دستکاری شده برای دسترسی به داده های فراتر از بافر حافظه از طریق خرابی پشته سوء استفاده کنند. این مشکل ممکن است منجر به سرقت اطلاعات حساس یا خرابی سیستم شود.
ادوارد بوچین و تائو یان، محققین امنیتی Palo Alto Networks، این آسیبپذیری روز صفر را در دومین روز Pwn2Own Vancouver 2024 برای دور زدن حفاظتهای V8 کشف کردند. این اکسپلویت دو مرحله ای به آن ها اجازه می داد تا کد دلخواه را در گوگل کروم و مایکروسافت اج اجرا کنند. این دو محقق برای این کار برنده جایزه 42500 دلاری شدند.
در حال حاضر گوگل این آسیب پذیری را در نسخه پایدار گوگل کروم با شماره نسخه 123.0.6312.105/.106/.107 (ویندوز و مک) و 123.0.6312.105 (لینوکس) برطرف کرده و در روزهای آینده در سراسر جهان منتشر خواهد شد.
یک هفته پیش، گوگل دو آسیبپذیری روز صفر کروم را که در Pwn2Own Vancouver 2024 کشف شد، برطرف کرد:
- اولین آسیبپذیری شدید سردرگمی الگو (CVE-2024-2887) در استاندارد باز Wasm توسط اکسپلویت اجرای کد از راه دور دو مرحلهای Manfred Paul (RCE) هدف قرار گرفت که کروم و Edge را هدف قرار میداد.
- دومین آسیبپذیری استفاده پس از آزادی (UAF) در Web Coding API (CVE-2024-2886) توسط Seunghyun Lee از آزمایشگاه هک KAIST کشف شد تا امکان اجرای کد از راه دور در هر دو مرورگر وب مبتنی بر Chromium را فراهم کند. .
در همان روزی که این آسیبپذیریها کشف شد، موزیلا دو آسیبپذیری روز صفر فایرفاکس را که Manfred Paul در رویداد Pwn2Own امسال در ونکوور کشف کرد، وصله کرد.
در حالی که هم گوگل و هم موزیلا وصلههای امنیتی را ظرف یک هفته منتشر کردند، فروشندگان نرمافزار معمولاً برای رفع آسیبپذیریهای کشف شده در Pwn2Own زمان بیشتری میبرند. زیرا ابتکار روز صفر Trend Micro جزئیات این باگ ها را پس از 90 روز به صورت عمومی منتشر می کند.
در مجموع، گوگل امسال چهار آسیبپذیری روز صفر کروم را اصلاح کرد که چهارمین آسیبپذیری به شدت مورد سوء استفاده قرار گرفت. این آسیبپذیری میتواند به مهاجمان اجازه دهد مرورگرهای اصلاح نشده را خراب کنند یا به دادههای حساس به دلیل دسترسی ضعیف به حافظه خارج از محدوده در موتور جاوا اسکریپت V8 دسترسی داشته باشند.
گفتگو در مورد این post