هفته پیش، هفته شلوغی برای گوگل بود. در این هفته گوگل ، در مجموع 11 آسیب پذیری رو در کروم اصلاح کرد که از این تعداد سه موردش 0day بود.
گوگل جزییات زیادی از آسیب پذیری ها رو منتشر نمیکنه ، تا کاربرا فرصت کافی برای بروزرسانی رو داشته باشن.
نسخه ی اصلاح شده برای پلتفرم های مختلف به شرح زیر :
- مک : 61./125.0.6422.60
- لینوکس : 125.0.6422.60
- ویندوز: 61./125.0.6422.60
با توجه به اینکه برخی آسیب پذیری ها روی Chromium هم گزارش شدن، بنابراین روی همه ی مرورگرهای مبتنی بر Chromium تاثیر میزارن. برای همین اگه از مرورگرهایی مانند Microsoft Edge هم استفاده میکنید، این مرورگرهارو هم بروزرسانی کنید.
بروزرسانی در کروم :
انتخاب سه نقطه گوشه ی سمت راست > انتخاب Help > انتخاب About Google Chrome
بروزرسانی Microsoft Edge :
انتخاب سه نقطه گوشه راست > انتخاب Help and Feedback > انتخاب About Microsoft Edge
از 11 آسیب پذیری اصلاح شده، 6 موردش توسط محققای خارجی و بقیه توسط محققین خود گوگل گزارش شده. در این پست به بررسی آسیب پذیریهای گزارش شده توسط محققین خارجی می پردازیم.
آسیب پذیری CVE-2024-4671 :
آسیب پذیری از نوع Use after free و در مولفه ی Visuals هستش و شدت بالا داره. این اولین آسیب پذیری 0day بود که گوگل اونو در 9 مه اصلاح کرد. برای اصلاح این آسیب پذیری، نسخه ی 124.0.6367.201/.202 رو برای ویندوز و مک و نسخه ی 124.0.6367.201 رو برای لینوکس منتشر کرد. گوگل اعلام کرده که این آسیب پذیری در حملاتی مورد اکسپلویت قرار گرفته. Visuals مسئول کنترل رندر و محتوا در کروم هستش.
آسیب پذیری Edge مایکروسافت رو هم تحت تاثیر قرار میده.
آسیب پذیری CVE-2024-4761 :
آسیب پذیری از نوع Out of bounds write و در V8 هستش و شدت بالا داره. این دومین آسیب پذیری 0day بود که گوگل اونو هفته پیش، 13 مه، اصلاح کرد. گوگل برای اصلاح این آسیب پذیری نسخه های 124.0.6367.207/.208 رو برای مک و ویندوز و نسخه ی 124.0.6367.207 رو برای لینوکس منتشر کرد. طبق گفته ی گوگل، این آسیب پذیری هم در حملاتی مورد اکسپلویت قرار گرفته.
V8 به موتور JavaScript کروم اشاره داره، که مسئول ترجمه کد JavaScript به کد ماشین قابل اجرا توسط CPU است.
آسیب پذیری Edge مایکروسافت رو هم تحت تاثیر قرار میده.
آسیب پذیری CVE-2024-4947 :
15 مه گوگل دوباره در بولتن امنیتش خبر از اصلاح 6 آسیب پذیری داد که یک موردش باز 0day بود. این آسیب پذیری از نوع Type Confusion و در V8 هستش و شدت بالا داره. آسیب پذیری توسط Vasily Berdnikov و Boris Larin از کسپرسکی گزارش شده. این آسیب پذیری هم در حملاتی مورد اکسپلویت قرار گرفته.
آسیب پذیری CVE-2024-4948 :
آسیب پذیری از نوع Use after free و در مولفه ی Dawn هستش و شدت بالا داره. Dawn موتور رندر وب جدید مرورگر کروم هستش که قرار جایگزین موتور رندر فعلی Blink بشه.
آسیب پذیری CVE-2024-4949:
آسیب پذیری از نوع Use after free و در V8 هستش و شدت متوسط داره. گوگل برای این آسیب پذیری 7 هزار دلار بانتی داده.
آسیب پذیری CVE-2024-4950 :
آسیب پذیری از نوع Inappropriate implementation و در مولفه ی Downloads هستش و شدت پایین داره. گوگل برای این آسیب پذیری 1000 دلار بانتی داده.
آسیب پذیری Edge مایکروسافت رو هم تحت تاثیر قرار میده.
با اصلاح این 0day، گوگل از ابتدای سال در مجموع 7 آسیب پذیری 0day رو در کروم اصلاح کرده: