كشفت شركة "جوجل" عن ثغرة شديدة الخطورة في نسخة سطح المكتب من متصفح الويب "كروم". ونبهت إلى أنها تتبع الثغرة المعرفة بـ CVE-2022-4135.
وأصدرت شركة جوجل تحديثًا أمنيًا طارئًا لنسخة "كروم"، وذلك بهدف معالجة الثغرة، والتي جرى استغلالها في هجمات خلال العام الحالي.
وقالت إن الثغرة تخص وحدات معالجة الرسومات GPU، وكان المهندس في مجال أمن المعلومات، كليمنت ليساين، الذي يعمل لدى مجموعة تحليل التهديدات التابعة لشركة جوجل قد اكتشفها في 22 تشرين ثاني/ نوفمبر الجاري.
وأفادت جوجل في إشعار التحديث الأمني: "تعلم جوجل أن ثغرة CVE-2022-4135 تُستغَّل في الصناعة".
ونظرًا إلى أن المستخدمين يحتاجون إلى وقت لتطبيق التحديث الأمني على عمليات تثبيت كروم الخاصة بهم، فقد حجبت جوجل تفاصيل بشأن الثغرة الأمنية لمنع توسيع استغلالها الضار.
يُشار إلى أن الثغرة الحالية خاصة بتجاوز سعة المُخزِّن المؤقت تكون في ذاكرة وحدة معالجة الرسومات GPU وتؤدي إلى كتابة البيانات في مواقع محظورة، عادةً ما تكون متجاورة، وذلك بدون فحص.
وقد يستخدم المهاجمون ثغرة تجاوز سعة المُخزِّن المؤقت للكتابة فوق ذاكرة التطبيق للتلاعب بمسار التنفيذ، مما يؤدي إلى وصول غير مقيد للمعلومات، أو تنفيذ تعليمات برمجية عشوائية.
ويُنصح مستخدمو متصفح كروم بالترقية إلى الإصدار 107.0.5304.121/122 لنظام التشغيل ويندوز، والإصدار 107.0.5304.122 لنظامي التشغيل ماك ولينوكس. وهذا الإصدار يصحح الثغرة المذكورة.
ولتحديث كروم، على المستخدم الذهاب إلى الإعدادات Settings، ثم حول كروم About Chrome، ثم الانتظار حتى يتم تنزيل الإصدار الأحدث من المتصفح، ثم إعادة تشغيله.
تجدر الإشارة إلى أن الإصدار 107.0.5304.121/122 الجديد من كروم يصحح ثامن ثغرة مكشوفة للعام الحالي، مما يشير إلى الاهتمام المتزايد للمهاجمين بالمتصفح الواسع الانتشار.
أما الثغرات السبع السابقة، فهي: CVE-2022-3723 في 28 تشرين الأول/ أكتوبر، CVE-2022-3075في 2 أيلول/ سبتمبر، CVE-2022-2856 في 17 آب/ أغسطس، CVE-2022-2294 في 4 تموز/ يوليو، CVE-2022-1364 في 14 نيسان/ أبريل، CVE-2022-1096 في 25 آذار/ مارس، CVE-2022-0609 في 14 شباط/ فبراير.
وعادةً ما يستفيد من هذه الثغرات قراصنة متطورون يستخدمونها في هجمات شديدة الاستهداف.
ومع ذلك، يُنصح جميع مستخدمي كروم بشدة بتحديث متصفحات الويب الخاصة بهم في أقرب وقت ممكن لمنع محاولات الاستغلال المحتملة.
