برطرف کردن آسیب پذیری type confusion کروم با آپدیت فوری

به گزارش کارگروه امنیت سایبربان ؛ گوگل اخیراً دو آسیب پذیری مهم را در مرورگر کروم خود با ارائه آپدیت امنیتی فوری برطرف کرد و یکی از آن‌ها type confusion بود که مورد سوءاستفاده قرار گرفته است. آسیب‌پذیری type confusion (CVE-2022-1364) بر جاوا اسکریپت و موتور WebAssembly مرورگر تاثیر گذاشته و با این نوع نقض، یک برنامه یا درخواست مخرب، با تخصیص منابع (شی یا نشانگر) و با دستکاری حالت نوشتاری و تایپ، سعی می‌کند به محتوای مورد نظر دسترسی پیدا کند.

این آسیب‌پذیری می‌تواند مورد سوءاستفاده قرار گیرد و باعث کرش کردن مرورگر، خطای منطقی و اجرای کد‌های مخرب شود. معمولا برای جلوگیری از وقوع type confusion توسعه‌دهندگان باتجربه یک مکانیزم برای بررسی ورودی‌های تایپ شده‌ قرار می‌دهند تا در صورت اشکال در درخواست‌های ورودی، نرم‌افزار بتواند از این نوع آسیب‌پذیری جلوگیری کند و منابع سرویس را در دسترس فرد غیرمجاز قرار ندهد.

گوگل ضمن تایید وجود آسیب پذیری type confusion در کروم بیان کرد که این نقض امنیتی در حال اکسپلویت است و جزئیات بیشتری از آن برای حفظ امنیت کاربران تا زمانی که اکثر آن‌ها به نسخه‌ی 100.0.4896.127 آپدیت کنند منتشر نکرد. برای آپدیت به آخرین نسخه‌ی کروم کافی است در منوی سه نقطه‌ای بالا سمت راست مرورگر، Help و سپس About Google Chrome را انتخاب نمایید.

به دلیل اینکه اکثر مرورگر‌های دیگر از کد منبع باز گوگل کروم ساخته شده‌اند این مشکل تقریبا در آن‌ها نیز وجود دارد و برخی از این مرورگر‌ها شامل Microsoft Edge ،Brave ،Vivaldi و Opera می‌شود. مرورگر موزیلا از کد منبع کروم استفاده نمی‌کند و این آسیب‌پذیری در آن گزارش نشده.

در رابطه با آسیب‌پذیری و باگ‌ دوم اطلاعات کمتری منتشر شده و گوگل تمایل دارد که اینچنین نیز بماند به دلیل اینکه گسترش اطلاعات آن در اینترنت، امنیت مرورگر گوگل را به خطر می‌اندازد. ظاهراً این مشکلات در بررسی‌های داخلی در خود گوگل کشف شده و چندین مورد نیز است. این سومین بروزرسانی اضطراری گوگل کروم در سال جاری میلادی و سومین آسیب‌پذیری zero-day در 2022 است.