گوگل روز پنجشنبه بهروزرسانی اضطراری را برای مرورگر وب کروم خود ارائه کرد، از جمله رفع دو آسیبپذیری 0-Day که میگوید به طور فعال مورد سوء استفاده قرار میگیرند.
این نقاط ضعف که بهعنوان CVE-2021-38000 و CVE-2021-38003 ردیابی میشوند، مربوط به اعتبار سنجی ناکافی ورودی نامعتبر در ویژگی به نام Intent و همچنین اجرای نامناسب در V8 JavaScript و موتور WebAssembly است. گروه تحلیل تهدید (TAG) این غول اینترنتی به ترتیب در تاریخ 15 سپتامبر 2021 و 26 اکتبر 2021 را کشف و گزارش کرده است.
این شرکت در توصیهای بدون پرداختن به جزئیات فنی درباره نحوه استفاده از این دو آسیبپذیری در حملات یا عوامل تهدیدی که ممکن است به آن اشاره کرد، گفت: «گوگل میداند که اکسپلویتهای CVE-2021-38000 و CVE-2021-38003 در طبیعت وجود دارند». آنها را مسلح کرده اند. همچنین به عنوان بخشی از این بهروزرسانی آسیبپذیری بدون استفاده در مؤلفه حملونقل وب (CVE-2021-38002)، که برای اولین بار در مسابقه Tianfu Cup که اوایل ماه جاری در چین برگزار شد، نشان داده شد. با این وصله ها، گوگل رکورد 0-Day را در مرورگر وب از ابتدای سال حل کرده است.
-
- CVE-2021-21148- Heap buffer overflow in V8
- CVE-2021-21166- Object recycle issue in audio
- CVE-2021-21193- Use-after-free in Blink
- CVE-2021-21206- Use-after-free in Blink
- CVE-2021-21220- Insufficient validation of untrusted input in V8 for x86_64
- CVE-2021-21224- Type confusion in V8
- CVE-2021-30551- Type confusion in V8
- CVE-2021-30554- Use-after-free in WebGL
- CVE-2021-30563- Type confusion in V8
- CVE-2021-30632- Out of bounds write in V8
- CVE-2021-30633- Use-after-free in Indexed DB API
- CVE-2021-37973- Use-after-free in Portals
- CVE-2021-37975- Use-after-free in V8
- CVE-2021-37976- Information leak in core
به کاربران Chrome توصیه می شود برای کاهش خطر احتمالی بهره برداری فعال، به آخرین نسخه (95.0.4638.69) برای Windows، Mac و Linux با رفتن به تنظیمات > راهنما > «درباره Google Chrome» به روز رسانی کنند.