جزئیاتی درباره آسیبپذیری حیاتی اجرای کد از راه دور در موتور V8 JavaScript و WebAssembly که در مرورگرهای Google Chrome و مبتنی بر Chromium استفاده میشود، منتشر شده است.
این نقص به یک مورد use-after-free در کامپوننت instruction optimization مربوط میشود، که بهرهبرداری موفقیتآمیز از آن میتواند به مهاجم اجازه دهد تا کد دلخواه را در زمینه مرورگر اجرا کند.
این نقص که در Dev channel نسخه Chrome 101 شناسایی شده بود، توسط Weibo Wang، یک محقق امنیتی در شرکت امنیت سایبری Numen Cyber Technology به گوگل گزارش شد و توسط این شرکت رفع شده است.
آنچه بیشتر نگران کننده است این است که این نقص میتواند از راه دور از طریق یک وبسایت برای دور زدن محدودیتهای امنیتی و اجرای کد دلخواه برای به خطر انداختن سیستمهای هدف مورد استفاده قرار گیرد.
این شرکت هنوز این آسیبپذیری را از طریق Chromium bug tracker فاش نکرده است تا به کاربران بیشتری اجازه دهد تا ابتدا نسخه وصلهشده را نصب کنند. همچنین، Google شناسههای CVE را برای آسیبپذیریهای موجود در کانالهای ناپایدار Chrome اختصاص نمیدهد.
کاربران Chrome، بهویژه توسعهدهندگانی که از نسخه توسعهدهنده Chrome برای آزمایش استفاده میکنند تا زمانی که اطمینان حاصل کنند که برنامههایشان با آخرین ویژگیهای Chrome و تغییرات API سازگار است، باید به آخرین نسخه موجود نرمافزار بروز شوند.
این نقص به یک مورد use-after-free در کامپوننت instruction optimization مربوط میشود، که بهرهبرداری موفقیتآمیز از آن میتواند به مهاجم اجازه دهد تا کد دلخواه را در زمینه مرورگر اجرا کند.
این نقص که در Dev channel نسخه Chrome 101 شناسایی شده بود، توسط Weibo Wang، یک محقق امنیتی در شرکت امنیت سایبری Numen Cyber Technology به گوگل گزارش شد و توسط این شرکت رفع شده است.
آنچه بیشتر نگران کننده است این است که این نقص میتواند از راه دور از طریق یک وبسایت برای دور زدن محدودیتهای امنیتی و اجرای کد دلخواه برای به خطر انداختن سیستمهای هدف مورد استفاده قرار گیرد.
این شرکت هنوز این آسیبپذیری را از طریق Chromium bug tracker فاش نکرده است تا به کاربران بیشتری اجازه دهد تا ابتدا نسخه وصلهشده را نصب کنند. همچنین، Google شناسههای CVE را برای آسیبپذیریهای موجود در کانالهای ناپایدار Chrome اختصاص نمیدهد.
کاربران Chrome، بهویژه توسعهدهندگانی که از نسخه توسعهدهنده Chrome برای آزمایش استفاده میکنند تا زمانی که اطمینان حاصل کنند که برنامههایشان با آخرین ویژگیهای Chrome و تغییرات API سازگار است، باید به آخرین نسخه موجود نرمافزار بروز شوند.
TurboFan assembly instructions بعد از وصله آسیبپذیری