من فضلك تسجيل الدخول أو تسجيل لتفعل ذلك.

كشفت شركة جوجل اليوم أنها قامت بإصلاح اليوم العاشر من الثغرات الأمنية التي تم استغلالها في عام 2024 من قبل المهاجمين أو الباحثين الأمنيين أثناء مسابقات القرصنة.

تم تعقبها كـسي في إي-2024-7965 وأفاد باحث أمني معروف باسم TheDog أن الثغرة الأمنية عالية الخطورة التي تم تصحيحها الآن ناجمة عن حشرة في واجهة المترجم الخلفية عند تحديد التعليمات التي سيتم إنشاؤها للتجميع في الوقت المناسب (JIT).

تصف جوجل الثغرة الأمنية بأنها تنفيذ غير مناسب في محرك JavaScript V8 الخاص بـ Google Chrome والذي يمكن أن يسمح للمهاجمين عن بعد باستغلال تلف الكومة عبر صفحة HTML مصممة.

تم الإعلان عن ذلك في تحديث لمنشور مدونة حيث كشفت الشركة الأسبوع الماضي أنهاتم إصلاح ثغرة أمنية أخرى عالية الخطورةالثغرة الأمنية (CVE-2024-7971) الناجمة عن إصدار V8نوع من الارتباكضعف.

“تم التحديث في 26 أغسطس 2024 ليعكس الاستغلال غير المشروع لـ CVE-2024-7965 والذي تم الإبلاغ عنه بعد هذا الإصدار،” صرحت الشركة وقال في تحديث اليوم“تدرك Google أن الثغرات الأمنية CVE-2024-7971 وCVE-2024-7965 موجودة في كل مكان.”

قامت شركة Google بإصلاح كل من الأيام صفر في إصدار Chrome 128.0.6613.84/.85 لأنظمة Windows/macOS ومستخدمي إصدار 128.0.6613.84 لنظام Linux، والتي تم طرحها لجميع المستخدمين في قناة سطح المكتب المستقر منذ يوم الأربعاء.

على الرغم من أن Chrome سيقوم بالتحديث تلقائيًا عند توفر تصحيحات الأمان، يمكنك أيضًا تسريع هذه العملية وتطبيق التحديثات يدويًا بالانتقال إلى قائمة Chrome> تعليمات> حول Google Chrome، وترك التحديث يكتمل، ثم النقر فوق الزر “إعادة التشغيل” لتثبيته.

وفي حين أكدت شركة جوجل أن الثغرات الأمنية CVE-2024-7971 وCVE-2024-7965 تم استغلالها على نطاق واسع، إلا أنها لم تشارك بعد المزيد من المعلومات بشأن هذه الهجمات.

وتقول جوجل: “قد يظل الوصول إلى تفاصيل الأخطاء والروابط مقيدًا حتى يتم تحديث غالبية المستخدمين بإصلاح”.

“سنحتفظ أيضًا بالقيود إذا كان الخلل موجودًا في مكتبة تابعة لجهة خارجية تعتمد عليها مشاريع أخرى بشكل مماثل، ولكن لم يتم إصلاحها بعد.”

منذ بداية العام، قامت شركة Google بإصلاح ثمانية أيام صفر أخرى تم استغلالها في الهجمات أو أثناء مسابقة القرصنة Pwn2Own:

  • سي في إي-2024-0519:ثغرة خطيرة في الوصول إلى الذاكرة خارج الحدود داخل محرك JavaScript Chrome V8، مما يسمح للمهاجمين عن بعد باستغلال تلف الكومة عبر صفحة HTML مصممة خصيصًا، مما يؤدي إلى الوصول غير المصرح به إلى معلومات حساسة.
  • سي في إي-2024-2887:خلل شديد الخطورة في معيار WebAssembly (Wasm). قد يؤدي ذلك إلى استغلال تنفيذ التعليمات البرمجية عن بُعد (RCE) من خلال الاستفادة من صفحة HTML مصممة.
  • سي في إي-2024-2886:ثغرة استخدام بعد التحرير في واجهة برمجة تطبيقات WebCodecs التي تستخدمها تطبيقات الويب لتشفير وفك تشفير الصوت والفيديو. استغلها المهاجمون عن بعد لإجراء عمليات قراءة وكتابة عشوائية عبر صفحات HTML المصممة، مما أدى إلى تنفيذ التعليمات البرمجية عن بعد.
  • سي في إي-2024-3159:ثغرة أمنية شديدة الخطورة ناجمة عن قراءة خارج الحدود في محرك JavaScript الخاص بمتصفح Chrome V8. استغل المهاجمون عن بُعد هذه الثغرة باستخدام صفحات HTML مصممة خصيصًا للوصول إلى البيانات بما يتجاوز مخزن الذاكرة المخصص، مما أدى إلى تلف الكومة التي يمكن الاستفادة منها لاستخراج معلومات حساسة.
  • سي في إي-2024-4671:خلل خطير في الاستخدام بعد التحرير في مكون Visuals الذي يتعامل مع عرض المحتوى وعرضه في المتصفح.
  • سي في إي-2024-4761:مشكلة الكتابة خارج الحدود في محرك JavaScript V8 الخاص بمتصفح Chrome، وهو المحرك المسؤول عن تنفيذ كود JS في التطبيق.
  • سي في إي-2024-4947:ضعف ارتباك النوع في محرك JavaScript Chrome V8 مما يسمح بتنفيذ تعليمات برمجية عشوائية على الجهاز المستهدف.
  • سي في إي-2024-5274:ارتباك في نوع محرك JavaScript V8 الخاص بمتصفح Chrome والذي قد يؤدي إلى حدوث أعطال أو تلف للبيانات أو تنفيذ تعليمات برمجية عشوائية

اقرأ المزيد

27 0 أغسطس 27, 2024
قد يستخدم بحث Google الآن عنوان OG لروابط العنوان
أصبحت شركة Alphabet، الشركة الأم لشركة Google، بشكل غير متوقع واحدة من أسهم القيمة الأعلى لدى مديري الصناديق المشهورين

Reactions

0
0
0
0
0
0
بالفعل كان رد فعل لهذا المنصب.

ردود الفعل