Google وصله‌های «in-the-wild» Chrome zero-day – هم‌اکنون به‌روزرسانی کنید!

آخرین به‌روزرسانی Google برای مرورگر کروم، بسته به اینکه شما روشن هستید، تعداد متفاوتی از باگ‌ها را برطرف می‌کند آندروید, Windows یا Macو بسته به اینکه "کانال پایدار" را اجرا می کنید یا "کانال پایدار توسعه یافته".

اگر انبوهی از پست های وبلاگ گوگل را گیج کننده می بینید، نگران نباشید…

ما نیز این کار را انجام دادیم، بنابراین سعی کرده‌ایم یک خلاصه همه‌جانبه در زیر ارائه کنیم.

La کانال پایدار آخرین نسخه، شامل تمام ویژگی های جدید مرورگر، در حال حاضر شماره گذاری شده است کروم 103.

La کانال پایدار توسعه یافته خود را به عنوان شناسایی می کند کروم 102، و آخرین ویژگی ها را ندارد اما دارای آخرین اصلاحات امنیتی است.

سه اشکال با شماره CVE در سه بولتن ذکر شده در بالا ذکر شده است:

• CVE-2022-2294: سرریز بافر در WebRTC. یک حفره روز صفر، که قبلاً برای برادری جرایم سایبری شناخته شده بود و به طور فعال در طبیعت از آن بهره برداری می کرد. این اشکال در تمام نسخه‌های ذکر شده در بالا ظاهر می‌شود: اندروید، ویندوز و مک، در هر دو طعم «پایدار» و «پایدار توسعه‌یافته». WebRTC مخفف «ارتباط بلادرنگ وب» است که توسط بسیاری از سرویس‌های اشتراک‌گذاری صوتی و تصویری که استفاده می‌کنید، مانند مواردی که برای جلسات راه دور، وبینارها و تماس‌های تلفنی آنلاین استفاده می‌کنید، استفاده می‌شود.
• CVE-2022-2295: Confusion در V8 تایپ کنید. مدت V8 به موتور جاوا اسکریپت گوگل اشاره دارد که توسط هر وب سایتی که شامل کد جاوا اسکریپت است، استفاده می شود، که در سال 2022 تقریباً همه وب سایت های موجود در آنجا هستند. این اشکال در اندروید، ویندوز و مک ظاهر می‌شود، اما ظاهراً فقط در طعم کروم 103 («کانال پایدار») است.
• CVE-2022-2296: استفاده رایگان در Chrome OS Shell. این مورد به‌عنوان «کانال پایدار» در ویندوز و مک فهرست شده است، اگرچه پوسته سیستم‌عامل کروم، همانطور که از نامش پیداست، بخشی از سیستم عامل کروم، که نه مبتنی بر ویندوز است و نه مک.

علاوه بر این، گوگل در برابر یک سری از باگ‌های غیر CVE که در مجموع با برچسب برچسب‌گذاری شده‌اند اصلاح کرده است. شناسه اشکال 1341569.

این وصله‌ها مجموعه‌ای از اصلاحات فعال را بر اساس «ممیزی‌های داخلی، مبهم‌سازی و سایر ابتکارات» ارائه می‌کنند، که به احتمال زیاد به این معنی است که قبلاً برای هیچ‌کس دیگری شناخته نشده بودند، و بنابراین هرگز (و دیگر نمی‌توان) به صفر تبدیل شدند. روز چاله، که خبر خوبی است.

کاربران لینوکس هنوز در بولتن های این ماه اشاره ای نکرده اند، اما مشخص نیست که آیا این به این دلیل است که هیچ یک از این اشکالات در پایگاه کد لینوکس اعمال نمی شود، زیرا وصله ها هنوز کاملاً برای لینوکس آماده نیستند، یا به این دلیل که باگ ها آماده نیستند. برای دریافت اصلاحات خاص لینوکس به اندازه کافی مهم در نظر گرفته می شود.

انواع اشکال توضیح داده شده است

برای ارائه یک واژه نامه بسیار سریع از دسته بندی های مهم اشکال در بالا:

• سرریز بافر. این بدان معناست که داده‌های ارائه‌شده توسط مهاجم به بلوکی از حافظه ریخته می‌شود که به اندازه کافی برای مقدار ارسال شده بزرگ نیست. اگر داده‌های اضافی به فضای حافظه که قبلاً توسط بخش‌های دیگر نرم‌افزار استفاده می‌شد «ریخته شود»، ممکن است (یا در این مورد، انجام می‌دهد) عمدا و خائنانه بر رفتار مرورگر تأثیر بگذارد.
• گیج شدن تایپ تصور کنید که داده‌هایی مانند «قیمت محصول» را ارائه می‌دهید که مرورگر قرار است به عنوان یک عدد ساده در نظر بگیرد. حالا تصور کنید که بعداً می‌توانید مرورگر را فریب دهید تا از شماره‌ای که به‌تازگی ارائه کرده‌اید استفاده کند، گویی به جای آن یک آدرس حافظه یا یک رشته متن است. شماره‌ای که برای اطمینان از اینکه قیمت قانونی آن است، بررسی می‌شود، احتمالاً یک آدرس حافظه یا رشته متن معتبر نیست، و بنابراین بدون استفاده از حیله‌ای که به صورت مخفیانه آن را تحت عنوان یک نوع داده متفاوت وارد می‌کند، پذیرفته نمی‌شود. با تغذیه داده‌هایی که «معتبر-هنگام بررسی-اما-نامعتبر-هنگام استفاده» هستند، مهاجم می‌تواند عمداً رفتار مرورگر را زیر و رو کند.
• استفاده پس از رایگان. این بدان معناست که بخشی از مرورگر به اشتباه از یک بلوک حافظه استفاده می کند، پس از اینکه به سیستم برای تخصیص مجدد در جای دیگر بازگردانده شد. در نتیجه، داده‌هایی که قبلاً از نظر ایمنی بررسی شده‌اند (توسط کدی که فرض می‌کند «مالک» حافظه مربوطه است) ممکن است درست قبل از استفاده به‌طور مخفیانه اصلاح شوند، بنابراین رفتار مرورگر را تحت تأثیر قرار می‌دهد.

چه کاری انجام دهید؟

کروم احتمالاً خود را به‌روزرسانی می‌کند، اما ما همیشه توصیه می‌کنیم به هر حال بررسی کنید.

در ویندوز و مک، استفاده کنید بیشتر > کمک > درباره Google Chrome > Google Chrome را به روز کنید.

در Android، بررسی کنید که برنامه‌های Play Store شما به‌روز باشند.

پس از به روز رسانی، شما به دنبال نسخه هستید 102.0.5005.148 اگر در نسخه «تدیدشده پایدار» هستید. 103.0.5060.114 اگر در مسیر "پایدار" هستید. و 103.0.5060.71 بر روی آندروید.

در لینوکس، ما مطمئن نیستیم که به چه شماره نسخه توجه کنیم، اما شما نیز ممکن است این کار را انجام دهید کمک > درباره ما > بروزرسانی به هر حال امنیت رقص، برای اطمینان از اینکه شما آخرین نسخه را در حال حاضر در دسترس دارید.