اخیرا گوگل به روز رسانی امنیتی اضطراری برای رفع یک آسیب پذیری zero-day دیگر که به صورت گسترده از آن بهره برداری شده است، منتشر کرد. شماره شناسایی این حفره امنیتی CVE-2023-2136 بوده و دومین آسیب پذیری zero-day کروم در سال 2023 می باشد.
گوگل این به روز رسانی را از طریق به روز رسانی کانال پایدار برای تمامی پلتفرم های اصلی منتشر نموده است و همچنین اعلام کرده که نسخه پایدار آن ظرف چند روز آینده برای تمامی پلتفرم های دیگر نیز منتشر خواهد شد:
• Windows: 112.0.5615.137/138
• Mac: 112.0.5615.137
• Linux: 112.0.5615.165
این به روز رسانی اضطراری جمعا 8 باگ موجود در کروم را رفع می کند.
• High CVE-2023-2133: Out-of-bounds memory access in Service Worker API. Reported by Rong Jian of VRI on 2023-03-30
• High CVE-2023-2134: Out-of-bounds memory access in Service Worker API. Reported by Rong Jian of VRI on 2023-03-30
• High CVE-2023-2135: Use after free in DevTools. Reported by Cassidy Kim(@cassidy6564) on 2023-03-14
• High CVE-2023-2136: Integer overflow in Skia. Reported by Clément Lecigne of Google’s Threat Analysis Group on 2023-04-12 (Zero Day)
• Medium CVE-2023-2137: Heap buffer overflow in SQLite. Reported by Nan Wang(@eternalsakura13) and Guang Gong of 360 Vulnerability Research Institute on 2023-04-05
دومین آسیب پذیری zero-day کروم در سال 2023
این آسیب پذیری دومین حفره امنیتی کروم در سال 2023 بوده و به صورت گسترده نیز مورد بهره برداری در حملات قرار گرفته است. جزییات این آسیب پذیری به شرح زیر است:
• CVE ID: CVE-2023-2136
• Description: It’s an integer overflow in Skia.
• Severity: HIGH
• Reporting: It has been reported by Clément Lecigne of Google’s Threat Analysis Group on 2023-04-12.
Skia یک کتابخانه گرافیکی 2D منبع باز گوگول بوده و با زبان C++ نوشته شده است و دارای این آسیب پذیری می باشد.
این حفره با درجه اهمیت بالا، شامل سرریز بافر Integer بوده و پتانسیل این را دارد که آسیب قابل توجهی به سیستم های در معرض خطر وارد کند.
Skia یک کامپوننت ضروری از Chrome rendering pipeline بوده و شامل رنج وسیعی از API هاست که مرورگر را قادر به ارائه موارد زیر می سازد:
• Graphics
• Shapes
• Text
• Animations
• Images
این قابلیت ها آن را به ابزاری قدرتمند برای توسعه دهندگان تبدیل کرده و آنها می توانند تجربیات وب خیرهکنندهای ایجاد کرده و گرافیک با کیفیت بالا را در چندین پلتفرم ارائه دهند.
در میان رایجترین آسیبپذیریهای نرمافزاری، باگهای سرریز Integer زمانی به وجود میآیند که یک عملیات معین مقداری را ایجاد میکند که از حداکثر محدودیت برای integer استفاده می شود.
چنین حوادثی اغلب منجر به رفتاری ناخواسته در نرم افزار می شود و تهدیدات امنیتی ای به وجود می آورد که می تواند سیستم را در معرض دسترسی غیرمجاز با حملات مخرب قرار دهد.
در این مورد نیز گوگل جزییات بیشتر از بهره برداری ها ارائه نکرده تا کاربران فرصت کافی برای به روز رسانی داشته باشند.
آپدیت کنید:
برای رفع این حفره امنیتی و به روز رسانی مراحل زیر را انجام دهید :
• وارد منوی تنظیمات کروم شوید.
• گزینه Help را انتخاب کنید.
• سپس گزینه About Google Chrome را انتخاب کنید.
• حالا کروم آخرین آپدیت در دسترس را بررسی کرده و سپس آن را دانلود خواهد کرد.
بهتر از برای پیشگیری از وقوع هر آسیبی هر چه سریعتر این به روز رسانی را انجام دهید.
منبع:
