برطرف شدن صدها آسیب پذیری خطرناک با به‌روزرسانی امنیتی بزرگ گوگل کروم

به گزارش پایگاه خبری پایداری ملی، نسخه ۱۴۹ مرورگر کروم یکی از بزرگ‌ترین بسته‌های امنیتی تاریخ این مرورگر به حساب می‌آید و نشان می‌دهد که ابزار‌های مبتنی بر هوش مصنوعی نقش فزاینده‌ای در کشف نقص‌های امنیتی ایفا می‌کنند.

نسخه‌های ۱۴۹.۰.۷۸۲۷.۵۳ و ۱۴۹.۰.۷۸۲۷.۵۴ برای ویندوز و macOS و نسخه ۱۴۹.۰.۷۸۲۷.۵۳ برای Linux منتشر شده‌اند. گوگل تأکید کرده که هیچ نشانه‌ای از سوءاستفاده مهاجمان از آسیب‌پذیری‌های برطرف‌شده پیش از انتشار این به‌روزرسانی مشاهده نشده است و هیچ‌کدام از آنها به حملات روز صفر تبدیل نشده‌اند.

بر اساس اطلاعات منتشرشده از سوی گوگل، ۳۷۱ مورد از مجموع ۴۲۹ آسیب‌پذیری توسط تیم‌های داخلی این شرکت شناسایی شده‌اند. کارشناسان معتقد هستند ابزار‌های امنیتی مبتنی بر هوش مصنوعی گوگل، از جمله Big Sleep، سهم قابل توجهی در افزایش تعداد آسیب‌پذیری‌های کشف‌شده داشته‌اند. سایر آسیب‌پذیری‌ها نیز توسط پژوهشگران مستقل امنیت سایبری گزارش شده‌اند.

گوگل برای شناسایی این نقص‌های امنیتی در مجموع ۲۰۹ هزار دلار پاداش پرداخت کرده است. بیشترین پاداش، ۹۷ هزار دلار، به یک پژوهشگر ناشناس برای کشف آسیب‌پذیری بحرانی Out-of-Bounds Read and Write در مؤلفه ANGLE اختصاص یافت. همچنین یک پژوهشگر با شناسه c۶eed۰۹fc۸b۱۷۴b۰f۳eebedcceb۱e۷۹۲ مبلغ ۴۳ هزار دلار برای گزارش یک آسیب‌پذیری بحرانی Use-After-Free در بخش Network دریافت کرد.

از میان ۴۲۹ آسیب‌پذیری برطرف‌شده، ۲۲ مورد در سطح بحرانی طبقه‌بندی شده‌اند. بیشتر این حفره‌ها از نوع Use-After-Free هستند؛ نقصی که می‌تواند باعث اجرای کد مخرب یا دسترسی غیرمجاز به حافظه شود.

فهرست آسیب‌پذیری‌های بحرانی اصلاح‌شده در نسخه ۱۴۹ کروم عبارت‌است‌از:

CVE-۲۰۲۶-۱۰۸۸۱: خواندن و نوشتن خارج از محدوده حافظه در ANGLE
CVE-۲۰۲۶-۱۰۸۸۲: Use-After-Free در Network
CVE-۲۰۲۶-۱۰۸۸۳: نوشتن خارج از محدوده حافظه در ANGLE
CVE-۲۰۲۶-۱۰۸۸۴: Use-After-Free در Chromecast
CVE-۲۰۲۶-۱۰۸۸۵: Use-After-Free در Chrome for iOS
CVE-۲۰۲۶-۱۰۸۸۶: Use-After-Free در FileSystem
CVE-۲۰۲۶-۱۰۸۸۷: Use-After-Free در Chromoting
CVE-۲۰۲۶-۱۰۸۸۸: Use-After-Free در Cast Streaming
CVE-۲۰۲۶-۱۰۸۸۹: خواندن خارج از محدوده حافظه در ANGLE
CVE-۲۰۲۶-۱۰۸۹۰: Use-After-Free در Cast
CVE-۲۰۲۶-۱۰۸۹۱: Use-After-Free در GFX
CVE-۲۰۲۶-۱۰۸۹۲: نوشتن خارج از محدوده حافظه در GPU
CVE-۲۰۲۶-۱۰۸۹۳: Use-After-Free در Chromoting
CVE-۲۰۲۶-۱۰۸۹۴: Use-After-Free در Printing
CVE-۲۰۲۶-۱۰۸۹۵: Use-After-Free در Ozone
CVE-۲۰۲۶-۱۰۸۹۶: Use-After-Free در Chrome for iOS
CVE-۲۰۲۶-۱۰۸۹۷: نوشتن خارج از محدوده حافظه در GPU
CVE-۲۰۲۶-۱۰۸۹۸: سرریز بافر پشته در GPU
CVE-۲۰۲۶-۱۰۸۹۹: Use-After-Free در Ozone
CVE-۲۰۲۶-۱۰۹۰۰: Use-After-Free در Passwords
CVE-۲۰۲۶-۱۰۹۰۱: Use-After-Free در Passwords
CVE-۲۰۲۶-۱۰۹۰۲: Use-After-Free در Ozone

گوگل اعلام کرده است که ۸۷ آسیب‌پذیری در سطح خطر بالا، ۲۲۶ آسیب‌پذیری در سطح متوسط و ۹۴ آسیب‌پذیری در سطح پایین نیز در این به‌روزرسانی امنیتی مرورگر کروم اصلاح شده‌اند. از نظر دسته‌بندی فنی، آسیب‌پذیری‌های Use-After-Free با ۱۱۰ مورد بیشترین سهم را در میان مشکلات امنیتی کشف‌شده دارند. پس از آن، مشکلات ناشی از اعتبارسنجی ناکافی داده‌های ورودی با ۸۸ مورد و نقص‌های مرتبط با پیاده‌سازی نامناسب با ۶۰ مورد قرار گرفته‌اند.

در میان مؤلفه‌های مختلف کروم، کتابخانه ANGLE بیشترین تعداد اصلاحات امنیتی را دریافت کرده است. گوگل در این بخش ۳۷ آسیب‌پذیری را برطرف کرده است. رابط افزونه‌ها و بخش پردازش رسانه نیز هر کدام شاهد رفع ۱۸ آسیب‌پذیری بوده‌اند.

نسخه ۱۴۹ کروم علاوه بر بهبود‌های امنیتی، قابلیت‌های جدیدی را نیز به همراه دارد. مهم‌ترین تغییر این نسخه به نمایشگر داخلی فایل‌های PDF مربوط می‌شود. کاربران اکنون می‌توانند علاوه بر تکمیل فرم‌های PDF، اسناد را حاشیه‌نویسی و امضا کنند. گوگل با این قابلیت، امکانات نمایشگر PDF کروم را به ابزار‌های ویرایش اسناد نزدیک‌تر کرده است.

برخی قابلیت‌های وعده‌داده‌شده مانند نمایش عمودی تب‌ها و نسخه جدید Reading Mode هنوز به طور گسترده فعال نشده‌اند. به همین دلیل بسیاری از کاربران فعلاً به این امکانات دسترسی ندارند.

گوگل در کنار نسخه دسکتاپ، نسخه اندروید مرورگر کروم را نیز با شماره ۱۴۹.۰.۷۸۲۷.۵۹ منتشر کرده است. نسخه iOS نیز پیش‌تر با شماره ۱۴۹.۰.۷۸۲۷.۴۵ در اختیار کاربران قرار گرفته بود. نسخه اندروید همان آسیب‌پذیری‌های موجود در نسخه‌های دسکتاپ را برطرف می‌کند.

کاربران می‌توانند از طریق بخش Help > About Google Chrome یا Settings > About Google Chrome به صورت دستی وجود به‌روزرسانی جدید را بررسی کنند. اگرچه کروم معمولاً به طور خودکار به‌روزرسانی می‌شود، اما نصب سریع این نسخه برای دریافت اصلاحات امنیتی گسترده آن توصیه می‌شود.

گوگل قصد دارد نسخه ۱۵۰ کروم را در اواخر ماه ژوئن منتشر کند. با توجه به حجم بی‌سابقه آسیب‌پذیری‌های اصلاح‌شده در نسخه ۱۴۹، این به‌روزرسانی یکی از مهم‌ترین ارتقا‌های امنیتی سال برای کاربران کروم محسوب می‌شود.