گوگل آپدیتهای امنیتی جدیدی برای چهار آسیبپذیری با اهمیت بالا در کروم ویندوز، مک و لینوکس منتشر کرده است.
جدیترین آسیبپذیری در بین این چهار آسیبپذیری، با شناسه CVE-2021-37977 شناخته میشود و نوعی آسیبپذیری after-free در Garbage Collection است که میتواند به اجرای کد ناخواسته (ACE) بینجامد. گزارش این نقص را محققی ناشناس ارائه داده که در ازای آن 10 هزار دلار پاداش از گوگل دریافت کرده است.
گوگل دو نوع آسیبپذیری سرریز بافر Heap در Blink و WebRTC را نیز با شناسه CVE-2021-37978 و CVE-2021-37979 اعلام کرده است.
آسیبپذیری CVE-2021-37978 را آقای Yangkang (@dnpushme) از شرکت امنیتی 360ATA گزارش کرده و آسیبپذیری CVE-2021-37979 را نیز آقای مارسین توالسکی از شرکت Talos (از شرکتهای زیرمجموعه سیسکو) یافته است. گوگل برای این دو آسیبپذیری نیز مجموعا 10 هزار دلار پاداش در نظر گرفته است.
با قدرتمندترین آنتیویروسهای دنیا از اندپوینتهای خود محافظت کنید!
چهارمین آسیبپذیری با درجه اهمیت بالا که توسط گوگل برطرف شده، در واقع نوعی پیادهسازی نامناسب در سندباکس است، و شناسه CVE-2021-37980 به آن اختصاص داده شده است. این آسیبپذیری توسط آقای Yonghwi Jin (@jinmo123) گزارش شده که بابت آن 3 هزار دلار جایزه دریافت کرده است.
در توضیحات بهروزرسانی جدید نسخه Stable کروم دسکتاپ آمده است:
«نسخهی پایدار برای ویندوز، مک و لینوکس به 94.0.4606.81 آپدیت شده است که به زودی عرضه میشود. نسخهی پایدار Extended هم برای ویندوز، مک و لینوکس به 94.0.4606.81 آپدیت شده است که آن هم به زودی عرضه میشود».
نسخهی بازنویسیشدهی مرورگر جدید همچنان دو آسیبپذیری سرریز بافر heap در Blink (با شناسه CVE-2021-37978) و WebRTC (با شناسه CVE-2021-37979) را در خودش دارد.
گوگل اشارهای به این موضوع نکرده است که آیا این نقصهای امنیتی توسط افراد و گروههای متفرقه اکسپلویت شدهاند یا خیر.
