نقض امنیتی خطرناک کروم، یک آسیبپذیری «Use-After-Free» است.
گوگل برای برطرفکردن یک آسیبپذیری روز صفر خطرناک که به هکرها اجازه میدهد بهطور بالقوه کدهای مخرب را روی دستگاه کاربر اجرا کنند، مرورگر کروم را بهروزرسانی کرده است. غول موتور جستجو در سال جاری میلادی، برای محافظت از کاربران خود، مجموعاً پنج آسیبپذیری روز صفر مربوط به گوگل کروم را برطرف کرده است.
براساس گزارش BleepingComputer، مشکل مذکور که بهعنوان CVE-2024-4671 شناخته میشود، یک آسیبپذیری «Use-After-Free» است که رندرها و محتوای نمایشدادهشده در مرورگر را کنترل میکند. این آسیبپذیری توسط یک محقق ناشناس کشف و به گوگل گزارش شده است و غول فناوری اعلام کرده که احتمالاً بهطور فعال از آن سوءاستفاده شده است.
آسیبپذیریهای «Use-After-Free» که به زبانهای برنامهنویسی مبتنی بر C مربوط میشوند، زمانی رخ میدهند که یک برنامه پس از آزادشدن حافظه، به استفاده از «اشارهگرها» (Pointers) ادامه میدهد. در زبانهای مذکور، توسعهدهندگان باید فضای موردنیازی را برای اجرای برنامهها یا عملیات خاص اختصاص دهند. آنها این کار را با استفاده از «اشارهگرها» انجام میدهند.
از آنجایی که حافظه آزادشده میتواند حاوی دادههای متفاوتی باشد یا توسط نرمافزار یا اجزای دیگری استفاده شود، دسترسی به آن توسط هکرها میتواند منجر به نشت داده، اجرای کد یا خرابی شود.
گوگل با انتشار نسخه 202./124.0.6367.201 مرورگر کروم برای مک و ویندوز و 124.0.6367.201 برای لینوکس، این مشکل را برطرف کرده و این بهروزرسانی طی روزها یا هفتههای آینده برای همه ارائه خواهد شد. هیچ جزئیات دیگری در مورد این آسیبپذیری ارائه نشده است، ازجمله اینکه چه پلتفرمهایی را هدف قرار داده و چه کسانی با چه اهدافی از آن سوءاستفاده کردهاند.
با احتساب این مورد، گوگل تاکنون پنج آسیبپذیری روز صفر کروم را در سال جاری میلادی برطرف کرده است. سه مورد از آنها توسط محققان در مسابقه اکسپلویت Pwn-to-Own استفاده شده بود.
پاسخ ها