گوگل در هفته جاری برای رفع آسیبپذیری روز صفری که داشت اکسپلویت میشد آپدیت کرومیِ اضطراری منتشر کرد. آسیبپذیری روز صفر پچشده که نامش را CVE-2021-4102 گذاشتهاند توسط محقق ناشناسی در تاریخ 9 دسامبر گزارش شده است اما هنوز در مورد جزئیات آن اطلاعاتی در دسترسی نیست. در ادامه با ما همراه شوید تا بیشتر این آسیبپذیری را مورد تحلیل قرار دهیم.
کانالهای پایدار و پایدار توسعهیافتهی گوگل کروم سپس برای کاربران ویندوز، مک و لینوکس به 96.0.4664.110 آپدیت شدند. این آپدیت انتظار میرود چند روز یا چند هفته آینده منتشر شوند اما به نقل از گوگل ممکن است تا به همه مرورگرها برسد کمی زمان ببرد. با این حال این آپدیت به نظر میرسد که همین الانش هم منتشر شده باشد. کروم برای آپدیتهای جدید چکهای منظمی انجا میدهد و آنها را به طور خودکار با از نو اجرا کردن مرورگر به کار میبندد. با این حال کاربران هچنین میتوانند به صورت دستی این آپدیت را به کار ببرند. این کار از طریق بخش About Google Chrome که میتوانید آن را از منوی Help پیدا کنید قابلانجام است. جدا از آسیبپذیری روز صفر، جدیدترین آپدیت گوگل کروم شامل چهار فیکس امنیتی دیگر نیز میشود؛ این اتفاق هم به لطف محققین خارجی رقم خورده است.
CVE-2021-4102 یک آسیبپذیری موتر جاوااسکریپت V8 کروم از نوع Use After Free است. مهاجمین برای خراب کردن برخی برنامههای خاص به آسیبپذیریهای Use After Free نیاز دارند؛ آنها در واقع این آسیبپذیریها را مجبور میکنند ارزشهای غیرقابلانتظار استفاده کرده و یا حتی کد دلخواه اجرا کنند. با وجود شناسایی اکسپلویتهایی که آن بیرون دارد از آسیبپذیری روز صفر CVE-2021-4102 میشود گوگل هنوز در مورد این حملات اطلاعات بیشتری ارائه نداده است. این شرکت همچنین گفته است امکان دارد دسترسی را محدود کند تا بیشتر کاربران قادر باشند با یک فیکس مرورگرهای وب کروم خود را آپدیت کنند. دسترسی به چنین جزئیاتی شاید اگر باگ در آشیوهای طرفسوم سایر پروژههایی که شانس پچ کردن نداشتن شناسایی شود دسترسی همچنان محدود باقی بماند.