گوگل اخیر ۹ آسیبپذیری از جمله یک آسیبپذیری روز صفر را در مرورگر گوگل کروم پچ کرده است. این آسیبپذیری با شناسه CVE-2024-4947 به یک نقص type confusion در موتور V8 JavaScript و WebAssembly مربوط میشود. این نقص توسط واسیلی بردنیکوف و بوریس لارین محققین کسپرسکی در ۱۳ می ۲۰۲۴ گزارش شد.
آسیبپذیریهای سردرگمی نوع (type confusion) زمانی ایجاد میشوند که یک برنامه تلاش میکند به منبعی با نوع ناسازگار دسترسی پیدا کند. این می تواند تأثیرات جدی داشته باشد زیرا به عوامل تهدید اجازه میدهد تا به حافظه خارج از محدوده دسترسی داشته باشند، باعث خرابی و اجرای کد دلخواه شوند.
این سومین آسیبپذیری روز صفر است که گوگل در عرض یک هفته پس از CVE-2024-4671 و CVE-2024-4761 وصله کرده است.
همانطور که انتظار داریم، هیچ جزئیات بیشتری در مورد این حملات در دسترس نیست و البته برای جلوگیری از بهرهبرداری بیشتر از آنها خودداری شده است. این شرکت گفت: «گوگل آگاه است که برای CVE-2024-4947 اکسپلویتی وجود دارد و در حال بهرهبرداری است.»
به کاربران این مرورگر توصیه میشود برای کاهش تهدیدات احتمالی، کروم را به نسخه 125.0.6422.60/.61 برای Windows و macOS و نسخه 125.0.6422.60 برای Linux ارتقا دهند.
همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه میشود که به محض در دسترس شدن، اصلاحات را اعمال کنند.
منبع: https://thehackernews.com/2024/05/google-patches-yet-another-actively.html
