به گفته گوگل یک نقص امنیتی حیاتی که قبلا در Chrome برای Windows مورد سوء استفاده قرار گرفته بود، کشف شده است و در مرحله اصلاح است.
چندین سوء استفاده امنیتی در مرورگر وب کروم Google، بهویژه برای ماشینهای ویندوز، کشف یا گزارش شد. بهروزرسانی کانال پایدار (103.0.5060.114) نقصهایی را برطرف میکند که به مهاجمان راه دور اجازه میدهد کنترل سیستم را از طریق جاوا اسکریپت، بافر حافظه یا آسیبپذیریهای تخصیص حافظه در دست بگیرند.
به نظر می رسد تنها یکی از مسائل امنیتی برجسته به طور فعال به طور آشکار مورد سوء استفاده قرار گرفته است، اما CVE-2022-2294، همانطور که شناخته شده است، می تواند منجر به آسیب های زیادی یا مشکلات دیگر شود.این همان چیزی است که به عنوان «سرریز بافر هیپ» شناخته می شود، به ویژه در WebRTC، که به ارتباط صوتی و تصویری اجازه می دهد تا در مرورگرهای وب مختلف کار کند. این روزها یک ویژگی مهم است.
هنگامی که مهاجمان مورد سوء استفاده قرار می گیرند، می توانند بافر حافظه را برای اجرای دستورات خود بازنویسی کنند. اگر به اندازه کافی محافظت نشده باشد، میتواند منجر به نفوذ یا کنترل مستقیم هر فرآیندی در یک سیستم عامل خاص شود.
سوء استفاده های دیگر کشف شده - یک اشکال Use After Free در سیستم عامل کروم و یک اشکال Type Confusion که می تواند برای فریب کروم برای اجرای کد مورد استفاده قرار گیرد - به نظر می رسد استفاده نشده است. بنابراین، در حالی که نقص های امنیتی وجود دارد، هیچ کس غیر از محققانی که آنها را کشف کرده اند، نتوانسته است از آن استفاده کند.
بهروزرسانی کانال پایدار برای Chrome در رایانه شخصی بهروزرسانی شده است و باید طی چند روز (یا احتمالاً هفتههای آینده) برای کاربران عرضه شود. بهروزرسانی باید پس از راهاندازی مجدد Chrome بهطور خودکار اعمال شود، اما اگر نمیخواهید منتظر بمانید، میتوانید بهصورت دستی نیز بهروزرسانی شود.
