قامت Google بتحديث متصفح Chrome الخاص بها لتصحيح ثغرة أمنية عالية الخطورة تسمح للمهاجمين بتنفيذ تعليمات برمجية ضارة على أجهزة المستخدم النهائي. يمثل هذا الإصلاح المرة الخامسة هذا العام التي تقوم فيها الشركة بتحديث المتصفح لحماية المستخدمين من الاستغلال الضار الموجود.
الثغرة الأمنية، تعقبها CVE-2024-4671، عبارة عن “استخدام بعد الاستخدام المجاني”، وهي فئة من الأخطاء تحدث في لغات البرمجة المستندة إلى لغة C. في هذه اللغات، يجب على المطورين تخصيص مساحة الذاكرة اللازمة لتشغيل تطبيقات أو عمليات معينة. يفعلون ذلك باستخدام “المؤشرات” التي تخزن عناوين الذاكرة حيث توجد البيانات المطلوبة. نظرًا لأن هذه المساحة محدودة، يجب إلغاء تخصيص مواقع الذاكرة بمجرد عدم حاجة التطبيق أو العملية إليها.
تحدث أخطاء الاستخدام بعد الاستخدام المجاني عندما يفشل التطبيق أو العملية في مسح المؤشر بعد تحرير موقع الذاكرة. في بعض الحالات، يتم استخدام المؤشر إلى الذاكرة المحررة مرة أخرى ويشير إلى موقع ذاكرة جديد يخزن كود القشرة الضار المزروع بواسطة استغلال المهاجم، وهو شرط سيؤدي إلى تنفيذ هذا الرمز.
يوم الخميس جوجل قال أبلغه مصدر مجهول بالثغرة الأمنية. تحمل الثغرة الأمنية تصنيف خطورة يبلغ 8.8 من أصل 10. وردًا على ذلك، قالت جوجل إنها ستطلق الإصدارات 124.0.6367.201/.202 لنظامي التشغيل macOS وWindows و124.0.6367.201 لنظام التشغيل Linux في الأيام اللاحقة.
وقالت الشركة: “تدرك Google أن استغلال CVE-2024-4671 موجود في البرية”.
ولم تقدم جوجل أي تفاصيل أخرى حول الثغرة، مثل الأنظمة الأساسية التي تم استهدافها، أو من يقف وراء الثغرة، أو فيما كانوا يستخدمونها من أجله.
وباحتساب هذه الثغرة الأمنية الأخيرة، قامت جوجل بإصلاح خمسة أيام صفر في متصفح كروم حتى الآن هذا العام. تم استخدام ثلاثة من البرامج السابقة من قبل الباحثين في مسابقة استغلال Pwn-to-Personal. أما المشكلة المتبقية فكانت تتعلق بالثغرة الأمنية التي كان استغلالها متاحًا في البرية.
يتم تحديث Chrome تلقائيًا عند توفر إصدارات جديدة. يمكن للمستخدمين فرض التحديث أو التأكد من أنهم يشغلون أحدث إصدار من خلال الانتقال إلى الإعدادات > حول Chrome والتحقق من الإصدار، وإذا لزم الأمر، النقر فوق زر إعادة التشغيل.
