يحصل متصفح Chrome على 11 إصلاحًا أمنيًا مع صفر يوم واحد - قم بالتحديث الآن!

آخر تحديث لـ Google متصفح كروم خارج ، صدم رقم الإصدار المكون من أربعة أجزاء إلى 104.0.5112.101 (Mac و Linux) أو 104.0.5112.102 (ويندوز).

وفقًا لـ Google ، يشتمل الإصدار الجديد على 11 إصلاحًا أمنيًا ، أحدها موثق بملاحظة أن "استغلال [لهذه الثغرة] موجود في البرية"، مما يجعلها ثقبًا ليوم الصفر.

يُعد اسم Zero-day بمثابة تذكير بأنه لم يكن هناك أي يوم يمكن فيه تصحيح حتى أكثر المستخدمين أو مسؤول النظام استباقًا وإطلاعًا على الأشرار.

تحديث التفاصيل

التفاصيل حول التحديثات شحيحة ، نظرًا لأن Google ، مثل العديد من البائعين الآخرين هذه الأيام ، يقيد الوصول إلى تفاصيل الأخطاء "حتى يتم تحديث غالبية المستخدمين بإصلاح".

لكن جوجل نشرة الافراج يعدد صراحة 10 من أصل 11 خطأ ، على النحو التالي:

• CVE-2022-2852: استخدمه مجانًا في FedCM.
• CVE-2022-2854: استخدمه مجانًا في SwiftShader.
• CVE-2022-2855: استخدمه مجانًا في الزاوية.
• CVE-2022-2857: استخدمه مجانًا في Blink.
• CVE-2022-2858: استخدمه بعد التدفق المجاني لتسجيل الدخول.
• CVE-2022-2853: تجاوز سعة المخزن المؤقت في التنزيلات.
• CVE-2022-2856: التحقق غير الكافي من المدخلات غير الموثوق بها في النوايا. (صفر يوم.)
• CVE-2022-2859: استخدمه مجانًا في Chrome OS Shell.
• CVE-2022-2860: تطبيق سياسة غير كاف في ملفات تعريف الارتباط.
• CVE-2022-2861: التنفيذ غير المناسب في Extensions API.

كما ترى ، سبعة من هذه الأخطاء نتجت عن سوء إدارة الذاكرة.

A استخدام خالية بعد تعني الثغرة الأمنية أن جزءًا من Chrome أعاد كتلة ذاكرة لم تكن تخطط لاستخدامها بعد الآن ، بحيث يمكن إعادة تخصيصها لاستخدامها في مكان آخر في البرنامج ...

... فقط للاستمرار في استخدام تلك الذاكرة على أي حال ، وبالتالي من المحتمل أن يتسبب جزء من Chrome في الاعتماد على البيانات التي يعتقد أنه يمكن الوثوق بها ، دون إدراك أن جزءًا آخر من البرنامج ربما لا يزال يتلاعب بهذه البيانات.

غالبًا ما تتسبب الأخطاء من هذا النوع في تعطل البرنامج تمامًا ، عن طريق العبث بالحسابات أو الوصول إلى الذاكرة بطريقة غير قابلة للاسترداد.

في بعض الأحيان ، ومع ذلك ، يمكن في بعض الأحيان تشغيل أخطاء الاستخدام بعد الحر من أجل إساءة توجيه البرنامج بحيث يسيء التصرف (على سبيل المثال عن طريق تخطي فحص الأمان أو الوثوق في الكتلة الخاطئة لبيانات الإدخال) وإثارة سلوك غير مصرح به.

A كومة تجاوز سعة المخزن المؤقت يعني طلب كتلة من الذاكرة ، ولكن كتابة بيانات أكثر مما يتناسب بشكل آمن معها.

يؤدي هذا إلى تجاوز المخزن المؤقت المخصص رسميًا والكتابة فوق البيانات الموجودة في الكتلة التالية من الذاكرة ، على الرغم من أن هذه الذاكرة قد تكون قيد الاستخدام بالفعل بواسطة جزء آخر من البرنامج.

لذلك ، عادةً ما ينتج عن الفيضانات العازلة آثارًا جانبية مماثلة للأخطاء التي لا تستخدم بعد الاستخدام: في الغالب ، سيتعطل البرنامج الضعيف ؛ في بعض الأحيان ، ومع ذلك ، يمكن خداع البرنامج لتشغيل تعليمات برمجية غير موثوق بها دون سابق إنذار.

حفرة يوم الصفر

خطأ يوم الصفر CVE-2022-2856 لا يحتوي على تفاصيل أكثر مما تراه أعلاه: "التحقق غير الكافي من المدخلات غير الموثوق بها في Intent."

كروم نية هي آلية لتشغيل التطبيقات مباشرة من صفحة الويب ، حيث يتم إدخال البيانات الموجودة على صفحة الويب في تطبيق خارجي يتم تشغيله لمعالجة تلك البيانات.

لم تقدم Google أي تفاصيل حول التطبيقات ، أو أي نوع من البيانات ، يمكن التلاعب بها بشكل ضار من خلال هذا الخطأ ...

... لكن الخطر يبدو واضحًا إلى حد ما إذا كان الاستغلال المعروف ينطوي على تغذية تطبيق محلي بصمت بنوع البيانات المحفوفة بالمخاطر التي عادةً ما يتم حظرها لأسباب أمنية.

ماذا ستفعلين.. إذًا؟

من المحتمل أن يقوم Chrome بتحديث نفسه ، لكننا نوصي دائمًا بالتحقق على أي حال.

على نظامي Windows و Mac ، استخدم المزيد > المساعدة > حول Google Chrome > تحديث جوجل كروم.

توجد نشرة إصدار منفصلة لـ Chrome لنظام iOS، والذي يذهب إلى الإصدار 104.0.5112.99، ولكن لا توجد نشرة حتى الآن [2022-08-17T12: 00Z] تشير إلى Chrome لنظام Android.

على نظام iOS ، تأكد من تحديث تطبيقات App Store. (استخدم تطبيق App Store نفسه للقيام بذلك.)

يمكنك مشاهدة أي إعلان تحديث قادم حول Android على Google إصدارات الكروم مدونة

متغير Chromium مفتوح المصدر لمتصفح Chrome الخاص هو أيضًا في الإصدار حاليًا 104.0.5112.101.

مايكروسوفت الحافة ملاحظات أمنية، ومع ذلك ، حاليًا [2022-08-17T12: 00Z] قل:

16 أغسطس 2022

مايكروسوفت على علم بالاستغلال الأخير الموجود في البرية. نحن نعمل بنشاط على إصدار تصحيح أمان كما أفاد فريق Chromium.

يمكنك متابعة تحديث Edge على مسؤول Microsoft تحديثات أمان الحافة .

---