من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

أصدرت Google تحديثًا أمنيًا طارئًا جديدًا لمتصفح Chrome لمعالجة ثغرة يوم الصفر الثالثة التي تم استغلالها في الهجمات خلال أسبوع.

وقال عملاق البحث في بيان: “إن Google تدرك أن استغلال CVE-2024-4947 موجود في البرية”. استشارة أمنية نشرت يوم الاربعاء.

ثغرة يوم الصفر عالية الخطورة (CVE-2024-4947) سببه أ نوع الارتباك ضعف في محرك Chrome V8 JavaScript الذي أبلغ عنه فاسيلي بيردنيكوف وبوريس لارين من كاسبرسكي.

على الرغم من أن مثل هذه العيوب تتيح عمومًا للجهات الفاعلة في مجال التهديد إحداث أعطال في المتصفح من خلال قراءة الذاكرة أو كتابتها خارج حدود المخزن المؤقت، إلا أنها يمكنها أيضًا استغلالها لتنفيذ تعليمات برمجية عشوائية على الأجهزة المستهدفة.

أما البرنامجان الآخران اللذان تم استغلالهما بنشاط في Chrome Zero-Days اللذان تم تصحيحهما هذا الأسبوع، فهماCVE-2024-4671 (خلل في الاستخدام بعد الاستخدام في مكون العناصر المرئية) وCVE-2024-4761 (خطأ كتابة خارج الحدود في محرك JavaScript V8).

مايكروسوفت أيضا قال إنها “على علم بالثغرات الأخيرة الموجودة في البرية” التي تستهدف CVE-2024-4947 وأن مهندسيها “يعملون بنشاط على إطلاق إصلاح أمني” لمتصفح الويب Edge المستند إلى Chromium.

إصلاح الطرح لمستخدمي القناة الثابتة

أصلحت الشركة ثغرة اليوم الصفري بإصدار 125.0.6422.60/.61 لنظام التشغيل Mac/Windows و125.0.6422.60 لنظام التشغيل Linux. سيتم طرح الإصدارات الجديدة لجميع المستخدمين في قناة سطح المكتب الثابت خلال الأسابيع المقبلة.

يتم تحديث Chrome تلقائيًا عند توفر تصحيحات الأمان. ومع ذلك، يمكن للمستخدمين أيضًا التأكد من أنهم يشغلون الإصدار الأحدث من خلال الانتقال إلى قائمة Chrome> مساعدة> حول Google Chrome، والسماح للتحديث بالانتهاء، ثم النقر فوق الزر “إعادة التشغيل” لتثبيته.

كان تحديث اليوم متاحًا على الفور عندما قام BleepingComputer بالتحقق من وجود تحديثات جديدة.

السابعة مستغلة بنشاط يوم الصفر مصححة في عام 2024

وبينما أكدت جوجل استخدام الخطأ CVE-2024-4947 في الهجمات، لم تشارك الشركة بعد المزيد من التفاصيل بشأن هذه الحوادث.

“قد يظل الوصول إلى تفاصيل الأخطاء والروابط مقيدًا حتى يتم تحديث غالبية المستخدمين بإصلاح. وسنحتفظ أيضًا بالقيود في حالة وجود الخطأ في مكتبة تابعة لجهة خارجية تعتمد عليها مشاريع أخرى بالمثل، ولكن لم يتم إصلاحها بعد، ” قال جوجل.

تُعد ثغرة Chrome الأخيرة هذه هي النقطة الصفر السابعة التي تم إصلاحها في متصفح الويب Google منذ بداية العام، مع القائمة الكاملة لثغرة الأيام الصفرية التي تم تصحيحها في عام 2024 بما في ذلك:

  • CVE-2024-0519: نقطة ضعف شديدة الخطورة في الوصول إلى الذاكرة خارج الحدود داخل محرك Chrome V8 JavaScript، مما يسمح للمهاجمين عن بعد باستغلال تلف الكومة عبر صفحة HTML مصممة خصيصًا، مما يؤدي إلى الوصول غير المصرح به إلى المعلومات الحساسة.
  • CVE-2024-2887: خطأ ارتباك شديد الخطورة في معيار WebAssembly (Wasm). يمكن أن يؤدي ذلك إلى استغلال تنفيذ التعليمات البرمجية عن بعد (RCE) للاستفادة من صفحة HTML المعدة.
  • CVE-2024-2886: ثغرة أمنية يمكن استخدامها بعد الاستخدام مجانًا في WebCodecs API التي تستخدمها تطبيقات الويب لتشفير وفك تشفير الصوت والفيديو. استغلها المهاجمون عن بعد لإجراء عمليات قراءة وكتابة عشوائية عبر صفحات HTML المعدة، مما أدى إلى تنفيذ التعليمات البرمجية عن بعد.
  • CVE-2024-3159: ثغرة أمنية شديدة الخطورة ناجمة عن قراءة خارج الحدود في محرك Chrome V8 JavaScript. استغل المهاجمون عن بعد هذا الخلل باستخدام صفحات HTML مصممة خصيصًا للوصول إلى البيانات خارج المخزن المؤقت للذاكرة المخصصة، مما أدى إلى تلف الكومة التي يمكن الاستفادة منها لاستخراج المعلومات الحساسة.
  • CVE-2024-4671: عيب شديد الخطورة بعد الاستخدام في مكون المرئيات الذي يتعامل مع عرض المحتوى وعرضه في المتصفح.
  • CVE-2024-4761: مشكلة كتابة خارج الحدود في محرك JavaScript V8 الخاص بمتصفح Chrome، وهو المحرك المسؤول عن تنفيذ تعليمات برمجية JS في التطبيق.

اقرأ أكثر

25 0 مايو 16, 2024
الإصدار الثالث من Google DeepMind لمساعدة العلماء في تصنيع الأدوية والتنبؤ بالمرض
Android لإضافة ميزات جديدة لمكافحة السرقة وحماية البيانات

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل