شرکت گوگل بهروزرسانی نسخه ویندوز مرورگر وب کروم خود را برای رفع آسیبپذیری روز صفری که در ماههای اخیر توسط تعدادی از هکرها مورد سواستفاده قرار میگرفت را ارائه کرده است.
برای آن دست از افرادی که نمیدانند آسیبپذیریهای روز صفر چیست، باید بگوییم که یکسری از آسیبپذیریهایی هستند که در همه پلتفرمها وجود دارد و در صورت استفاده توسط هکرها، امکان وارد کردن آسیبهای جدی به اطلاعات و در موارد بسیار شدیدتر، وارد شدن آسیب به سیستم قربانی وجود دارد. شرکتهای دنیا معمولا برای پیدا و گزارش کردن آسیبپذیریها مبلغی را به آن محقق میپردازند، اما اگر شخصی بتواند آسیبپذیری روز صفری را پیدا کند، مبلغ بهمراتب بیشتری را دریافت خواهد کرد.
براساس گزارش منتشر شده از سوی رسانه BleepingComputer، این آسیبپذیری که با نام CVE-2022-2294 شناخته میشود، در آخرین نسخه ویندوزی مرورگر کروم با شماره 103.0.5060.114 برطرف شده است. اگر شما پیام مربوط به این بهروزرسانی را مشاهده نکردهاید، باید بگوییم که جای هیچ نگرانی وجود ندارد، چرا که این مرورگر معمولا بعد از باز شدن بهصورتی خودکار تمام بهروزرسانیها را دانلود و نصب میکند. البته شرکت گوگل میگوید که این امکان وجود دارد تا چند هفته طول بکشد تا این پچ امنیتی برای همه افراد در دسترس قرار بگیرد.
شرکت گوگل هنوز هیچ اطلاعاتی را درمورد جزئیات مربوط به این آسیبپذیری را مخفی میکند تا افراد سودجو هیچ ایدهای را درمورد اینکه چگونه میتوانند به کامپیوتر افرادی که هنوز بهروزرسانی گفته شده را نصب نکردهاند، نداشته باشند. شرکتها معمولا در زمانی که تعداد قابل قبولی از کاربرانشان بهروزرسانیهای مورد نظر را نصب میکنند، اطلاعات آن آسیبپذیری را دردسترس محققان امنیتی و علاقهمندان به این حوزه قرار میدهند.
گوگل در مورد عدم افشای اطلاعات این آسیبپذیری گفت:
دسترسیبه جزئیات و لینکهای مربوط به باگها ممکن است تا مدت زمان مشخصی محدود بماند تا اکثر کاربران پچ امنیتی را روی مرورگر خود نصب کنند. همچنین اگر این اشکال در لایبراریهای شخص ثالث وجود داشته باشد که پروژههای دیگر بهصورتی مشابه به آن وابسته باشند، اما هنوز مشکل گفته شده در آنها بهچشم بخورد، ما محدودیتها را حفظ خواهیم کرد.
ما میدانیم که این آسیبپذیری یک اشکال در سرریز بافر مبتنیبر استک با شدت بالا است که توسط Jan Vojtesek از شرکت Avast در مولفه WebRTC که برای ارتباطات درلحظه استفاده میشود، کشف شده است. هکرهایی که موفقبه سواستفاده موفقیتآمیز از این آسیبپذیری میشوند، میتوانند برنامهها را خراب کرده و کد دلخواه را در کامپیوتر قربانی اجرا کنند.
از ابتدای سال جاری میلادی تا به امروز، شرکت گوگل علاوهبراین باگ گفته شده، سه باگ روز صفر دیگر با نامهای CVE-2022-0609، CVE-2022-1096 و CVE-2022-1364 را برطرف کرده است. این باگها بهترتیب در ماههای فوریه، مارس و آوریل با استفاده از پچهای امنیتی که منتشر شده بود، برطرف شدند، پس بههیچ عنوان جای نگرانی از بابت وجود این باگ در مرورگرتان نداشته باشید.
نکته جالبی که درمورد باگهای گفته شده در پاراگراف قبلی وجود دارد، آن است براساس نظر کارشناسان و محققان امنیتی، اولین سو استفادهها از این باگها توسط کره شمالی انجام شده است.