ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

ورود
ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

گوگل هشتمین روز صفر بهره برداری فعال کروم را در سال جاری اصلاح کرد

گوگل به‌روزرسانی امنیتی اضطراری جدیدی را برای رفع هشتمین آسیب‌پذیری روز صفر در مرورگر کروم منتشر کرده است که تأیید شده است به طور فعال در طبیعت مورد سوء استفاده قرار می‌گیرد.
این مشکل امنیتی به صورت داخلی توسط Clément Lecigne گوگل کشف شد و به عنوان CVE-2024-5274 ردیابی می شود. این یک «گیج کننده نوع» با شدت بالا در V8 است، موتور جاوا اسکریپت کروم که مسئول اجرای کد JS است.
این شرکت در مشاوره امنیتی گفت: «گوگل می‌داند که یک سوء استفاده برای CVE-2024-5274 در طبیعت وجود دارد.
آسیب‌پذیری «گیج‌سازی نوع» زمانی رخ می‌دهد که یک برنامه یک قطعه حافظه را برای نگهداری نوع خاصی از داده‌ها اختصاص می‌دهد اما به اشتباه داده‌ها را به عنوان نوع دیگری تفسیر می‌کند. این می‌تواند منجر به خرابی، خرابی داده‌ها و همچنین اجرای کد دلخواه شود.
گوگل جزئیات فنی مربوط به این نقص را به اشتراک نگذاشته است تا از کاربران در برابر تلاش های احتمالی سوء استفاده از سایر عوامل تهدید محافظت کند و به آنها اجازه دهد نسخه مرورگری را نصب کنند که مشکل را برطرف کند.
“دسترسی به جزئیات اشکال و پیوندها ممکن است محدود شود تا زمانی که اکثر کاربران با یک اصلاح به‌روزرسانی شوند. همچنین اگر اشکال در کتابخانه شخص ثالثی وجود داشته باشد که پروژه‌های دیگر به طور مشابه به آن وابسته هستند، اما هنوز برطرف نشده‌اند، محدودیت‌ها را حفظ خواهیم کرد. غول فناوری گفت.
رفع مشکل در Chrome Stable موجود است
تعمیر گوگل در کانال Stable کروم در نسخه 125.0.6422.112/.113 برای ویندوز و مک ارائه می شود، در حالی که کاربران لینوکس در هفته های آینده به روز رسانی را در نسخه 125.0.6422.112 دریافت خواهند کرد.
Chrome به‌روزرسانی‌های امنیتی مهم را به‌طور خودکار نصب می‌کند و پس از راه‌اندازی مجدد مرورگر اعمال می‌شوند. کاربران می توانند تأیید کنند که از آخرین نسخه استفاده می کنند در بخش About در منوی تنظیمات.
اگر به‌روزرسانی در دسترس است، کاربران باید منتظر بمانند تا فرآیند به‌روزرسانی تمام شود و سپس روی دکمه «راه‌اندازی مجدد» کلیک کنند تا آن را اعمال کنند.

سومین روز صفر این ماه به طور فعال مورد بهره برداری قرار گرفت
CVE-2024-5274 هشتمین آسیب‌پذیری فعالی است که گوگل از ابتدای سال در کروم آن را برطرف کرده و سومین آسیب‌پذیری در این ماه است.
در عین حال، تصمیم قبلی Google برای کاهش ارسال به‌روزرسانی‌های امنیتی Chrome از دو بار به یک بار در هفته، به مشکل شکاف وصله‌ای که به عوامل تهدید فرصت بیشتری برای سوء استفاده از نقص‌های روز صفر می‌دهد، رسیدگی می‌کند.
نقص‌های روز صفر که به طور فعال در کروم مورد سوء استفاده قرار گرفته و در اوایل امسال وصله شده‌اند عبارتند از:
CVE-2024-0519: یک ضعف با شدت بالا در دسترسی به حافظه خارج از محدوده در موتور جاوا اسکریپت کروم V8، به مهاجمان راه دور اجازه می دهد تا از خرابی پشته ها از طریق یک صفحه HTML ساخته شده ویژه سوء استفاده کنند که منجر به دسترسی غیرمجاز به اطلاعات حساس می شود.
CVE-2024-2887: یک نقص سردرگمی با شدت بالا در استاندارد WebAssembly (Wasm). این می تواند منجر به سوء استفاده از اجرای کد از راه دور (RCE) با استفاده از یک صفحه HTML دستکاری شده شود.
CVE-2024-2886: یک آسیب‌پذیری بدون استفاده در WebCodecs API که توسط برنامه‌های کاربردی وب برای رمزگذاری و رمزگشایی صدا و تصویر استفاده می‌شود. مهاجمان از راه دور از آن برای انجام خواندن و نوشتن دلخواه از طریق صفحات HTML دستکاری شده سوء استفاده کردند که منجر به اجرای کد از راه دور شد.
CVE-2024-3159: یک آسیب پذیری با شدت بالا ناشی از خواندن خارج از محدوده در موتور جاوا اسکریپت کروم V8. مهاجمان راه دور از این نقص با استفاده از صفحات HTML ساخته شده ویژه برای دسترسی به داده‌های فراتر از بافر حافظه اختصاص‌یافته، سوء استفاده کردند، که منجر به خرابی پشته‌ای شد که می‌توان از آن برای استخراج اطلاعات حساس استفاده کرد.
CVE-2024-4671: یک نقص با شدت بالا و استفاده پس از رایگان در مؤلفه Visuals که رندر و نمایش محتوا در مرورگر را مدیریت می کند.
CVE-2024-4761: مشکل نوشتن خارج از محدوده در موتور جاوا اسکریپت V8 کروم که وظیفه اجرای کد JS در برنامه را بر عهده دارد.
CVE-2024-4947: ضعف نوع سردرگمی با شدت بالا در موتور جاوا اسکریپت کروم V8، به طور بالقوه امکان اجرای کد دلخواه را در دستگاه مورد نظر فراهم می کند.

مطالب مشابه
نظرات بسته شده است.