گوگل روز جمعه بهروزرسانیهای خارج از باند را برای رفع نقص روز صفر در مرورگر وب کروم خود منتشر کرد که این اولین باگ است که از ابتدای سال تاکنون برطرف شده است.
این آسیبپذیری با شدت بالا که بهعنوان CVE-2023-2033 دنبال میشود، به عنوان یک مشکل سردرگمی نوع در موتور جاوا اسکریپت V8 توصیف شده است. کلمنت لسیگن از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این مشکل در 11 آوریل 2023 است.
بر اساس پایگاه داده آسیبپذیری ملی NIST (NVD)، «آشفتگی تایپ در V8 در Google Chrome قبل از 112.0.5615.121 به یک مهاجم از راه دور اجازه میداد تا به طور بالقوه از خرابی heap از طریق یک صفحه HTML دستکاری شده سوء استفاده کند».
غول فناوری اذعان کرد که "یک سوء استفاده برای CVE-2023-2033 در طبیعت وجود دارد"، اما از اشتراک گذاری مشخصات فنی اضافی یا شاخص های سازش (IoCs) برای جلوگیری از بهره برداری بیشتر توسط عوامل تهدید متوقف شد.
همچنین به نظر میرسد که CVE-2023-2033 شباهتهایی با CVE-2022-1096، CVE-2022-1364، CVE-2022-3723، و CVE-2022-4262 دارد - چهار نقص دیگر که بهطور فعال مورد سوء استفاده قرار گرفتهاند در V8 که توسط Google برطرف شده در سال 2022.
گوگل سال گذشته در مجموع 9 روز صفر در کروم را رفع کرده است. این توسعه چند روز پس از آن صورت میگیرد که Citizen Lab و مایکروسافت از سوءاستفاده مشتریان یک فروشنده نرمافزارهای جاسوسی به نام QuaDream برای هدف قرار دادن روزنامهنگاران، چهرههای اپوزیسیون سیاسی و یک کارگر سازمانهای غیردولتی در سال 2021 از یک نقص وصلهشده در Apple iOS استفاده کردند.
به کاربران توصیه می شود برای کاهش تهدیدات احتمالی، نسخه 112.0.5615.121 را برای Windows، macOS و Linux ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه میشود که به محض در دسترس شدن، اصلاحات را اعمال کنند.
این آسیبپذیری با شدت بالا که بهعنوان CVE-2023-2033 دنبال میشود، به عنوان یک مشکل سردرگمی نوع در موتور جاوا اسکریپت V8 توصیف شده است. کلمنت لسیگن از گروه تحلیل تهدیدات گوگل (TAG) مسئول گزارش این مشکل در 11 آوریل 2023 است.
بر اساس پایگاه داده آسیبپذیری ملی NIST (NVD)، «آشفتگی تایپ در V8 در Google Chrome قبل از 112.0.5615.121 به یک مهاجم از راه دور اجازه میداد تا به طور بالقوه از خرابی heap از طریق یک صفحه HTML دستکاری شده سوء استفاده کند».
غول فناوری اذعان کرد که "یک سوء استفاده برای CVE-2023-2033 در طبیعت وجود دارد"، اما از اشتراک گذاری مشخصات فنی اضافی یا شاخص های سازش (IoCs) برای جلوگیری از بهره برداری بیشتر توسط عوامل تهدید متوقف شد.
همچنین به نظر میرسد که CVE-2023-2033 شباهتهایی با CVE-2022-1096، CVE-2022-1364، CVE-2022-3723، و CVE-2022-4262 دارد - چهار نقص دیگر که بهطور فعال مورد سوء استفاده قرار گرفتهاند در V8 که توسط Google برطرف شده در سال 2022.
گوگل سال گذشته در مجموع 9 روز صفر در کروم را رفع کرده است. این توسعه چند روز پس از آن صورت میگیرد که Citizen Lab و مایکروسافت از سوءاستفاده مشتریان یک فروشنده نرمافزارهای جاسوسی به نام QuaDream برای هدف قرار دادن روزنامهنگاران، چهرههای اپوزیسیون سیاسی و یک کارگر سازمانهای غیردولتی در سال 2021 از یک نقص وصلهشده در Apple iOS استفاده کردند.
به کاربران توصیه می شود برای کاهش تهدیدات احتمالی، نسخه 112.0.5615.121 را برای Windows، macOS و Linux ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera، و Vivaldi توصیه میشود که به محض در دسترس شدن، اصلاحات را اعمال کنند.