گوگل در بولتن امنیتیش خبر از اصلاح 4 آسیب پذیری با شدت بالا، در مرورگر کروم دسکتاپ رو داده، که یه موردش زیرودی هست.
گوگل جزییات زیادی از آسیب پذیری ها رو منتشر نمیکنه ، تا کاربرا فرصت کافی برای بروزرسانی رو داشته باشن. یکی از آسیب پذیری ها بصورت داخلی کشف و گزارش شده و 3 موردش توسط محققین خارجی.
نسخه ی اصلاح شده برای پلتفرم های مختلف به شرح زیر هستش :
- مک : 120.0.6099.234
- لینوکس : 120.0.6099.224
- ویندوز: 120.0.6099.224/225
با توجه به اینکه برخی آسیب پذیری ها روی Chromium گزارش شدن، بنابراین روی همه ی مرورگرهای مبتنی بر Chromium هم تاثیر میزارن. برای همین اگه از مرورگرهایی مانند Microsoft Edge استفاده میکنید، این مرورگرهارو هم بروزرسانی کنید.
بروزرسانی در کروم :
انتخاب سه نقطه گوشه ی سمت راست > انتخاب Help > انتخاب About Google Chrome
بروزرسانی Microsoft Edge :
انتخاب سه نقطه گوشه راست > انتخاب Help and Feedback > انتخاب About Microsoft Edge
آسیب پذیری CVE-2024-0517 :
آسیب پذیری از نوع Out of bounds write و در موتور V8 هستش. مهاجم راه دور امکان اکسپلویت یه خرابی هیپ از طریق ایجاد یه صفحه ی مخرب HTML داره. گوگل برای این آسیب پذیری 16 هزار دلار بانتی داده.
آسیب پذیری CVE-2024-0518 :
آسیب پذیری از نوع Type Confusion و در موتور V8 هستش. مهاجم راه دور امکان اکسپلویت یه خرابی هیپ از طریق ایجاد یه صفحه ی مخرب HTML داره. گوگل برای این آسیب پذیری 1000 دلار بانتی داده.
آسیب پذیری CVE-2024-0519 :
آسیب پذیری از نوع Out of bounds memory access و در موتور V8 هستش. مهاجم راه دور امکان اکسپلویت یه خرابی هیپ از طریق ایجاد یه صفحه ی مخرب HTML داره. بانتی این آسیب پذیری، در حال محاسبه هستش. این آسیب پذیری زیرودی هستش و گوگل اعلام کرده که در حملات هدفمندی ، اکسپلویت شده. آسیب پذیری به کاتالوگ KEV آژانس CISA هم اضافه شده.
مهاجم با این آسیب پذیری میتونه اطلاعات حساس رو بخونه یا منجر به کرش مرورگر بشه. همچنین از این آسیب پذیری میشه برای دور زدن مکانیسم های امنیتی مانند ASLR استفاده کرد و با ترکیب اون با یه آسیب پذیری اجرای کد، فرایند اجرای کد رو ساده تر کرد.