اخطار گوگل درباره‌ی چهار آسیب‌پذیری با اهمیت بالا در کروم ویندوز، مک و لینوکس

امنیت کروم

گوگل آپدیت‌های امنیتی جدیدی برای چهار آسیب‌پذیری با اهمیت بالا در کروم ویندوز، مک و لینوکس منتشر کرده است.

جدی‌ترین آسیب‌پذیری در بین این چهار آسیب‌پذیری، با شناسه CVE-2021-37977 شناخته می‌شود و نوعی آسیب‌پذیری after-free در Garbage Collection است که می‌تواند به اجرای کد ناخواسته‌ (ACE) بینجامد. گزارش این نقص را محققی ناشناس ارائه داده که در ازای آن 10 هزار دلار پاداش از گوگل دریافت کرده است.

گوگل دو نوع آسیب‌پذیری سرریز بافر Heap در Blink و WebRTC را نیز با شناسه CVE-2021-37978 و CVE-2021-37979 اعلام کرده است.

آسیب‌پذیری CVE-2021-37978 را آقای Yangkang (@dnpushme) از شرکت امنیتی 360ATA  گزارش کرده و آسیب‌پذیری CVE-2021-37979 را نیز آقای مارسین توالسکی از شرکت Talos (از شرکت‌های زیرمجموعه سیسکو) یافته است. گوگل برای این دو آسیب‌پذیری نیز مجموعا 10 هزار دلار پاداش در نظر گرفته است.

با قدرتمندترین آنتی‌ویروس‌های دنیا از اندپوینت‌های خود محافظت کنید! 

چهارمین آسیب‌پذیری با درجه اهمیت بالا که توسط گوگل برطرف شده، در واقع نوعی پیاده‌سازی نامناسب در سندباکس است، و شناسه CVE-2021-37980 به آن اختصاص داده شده است. این آسیب‌پذیری توسط آقای Yonghwi Jin (@jinmo123) گزارش شده که بابت آن 3 هزار دلار جایزه دریافت کرده است.

در توضیحات به‌روزرسانی جدید نسخه Stable کروم دسکتاپ آمده است:

«نسخه‌ی پایدار برای ویندوز، مک و لینوکس به 94.0.4606.81 آپدیت شده است که به زودی عرضه می‌شود. نسخه‌ی پایدار Extended هم برای ویندوز، مک و لینوکس به 94.0.4606.81 آپدیت شده است که آن هم به زودی عرضه می‌شود».

نسخه‌ی بازنویسی‌شده‌ی مرورگر جدید هم‌چنان دو آسیب‌پذیری سرریز بافر heap در Blink (با شناسه CVE-2021-37978) و WebRTC (با شناسه CVE-2021-37979) را در خودش دارد.

گوگل اشاره‌ای به این موضوع نکرده است که آیا این نقص‌های امنیتی توسط افراد و گروه‌های متفرقه اکسپلویت شده‌اند یا خیر.

علاقمند به حوزه امنیت اطلاعات و آشنا به حوزه تست نفوذ
  • facebook
  • twitter
  • googleplus
  • linkedIn
  • flickr

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.