یه پیادهسازی اشتباهِ یه سیاست امنیتی، کروم ۱۳۶ رو آسیبپذیر کرده. یه محقق امنیتی این ضعف رو تو یه پست تو X (همون توییتر سابق) لو داده.
گوگل یه آپدیت امنیتی برای کروم ۱۳۶ داده بیرون. توی نسخههای ویندوز، مکاواس و لینوکسش چهار تا آسیبپذیری هست. یکیشون یه حفره روز صفره که به گفته توسعهدهندهها، همین الان هکرها دارن ازش سوءاستفاده میکنن. اونی که این باگ رو پیدا کرده، طبق توضیحات نسخه (release notes)، روز ۵ می با یه پست تو X (همون توییتر سابق) علنیش کرده.
ظاهراً گوگل از قبل از این ایراد خبر نداشته. اینم توضیح میده که چرا به اون کاربره که اسمش Slonser_ هست، جایزهای پرداخت نشده – معمولاً گوگل به کاشفای آسیبپذیریهای کروم جایزه میده.
گوگل این حفره روز صفر رو اینجوری توصیف میکنه: “یه پیادهسازی اشتباهِ یه سیاست امنیتی توی کامپوننت Loader”. به گفته US-NIST (موسسه ملی استاندارد و فناوری آمریکا)، یه مهاجم میتونه از راه دور به دادههای Cross-Origin (بین مبدأیی) دسترسی پیدا کنه. فقط کافیه قربانی رو گول بزنن تا یه وبسایت دستکاری شده رو توی کروم باز کنه.
گوگل جزئیاتی هم درباره یه آسیبپذیری دیگه توی کامپوننت Mojo گفته. ولی اطلاعات مربوط به بقیه باگها فعلاً منتشر نمیشه، تا وقتی که بیشتر کاربرها به نسخه جدید آپدیت کنن – یا به خاطر اینکه یه کتابخونه از یه شرکت دیگه (شخص ثالث) درگیره که پروژههای دیگهای هم بهش وابستهان.
کاربرها باید هر چه زودتر نسخه اصلاح شده 136.0.7103.113/.114 رو برای ویندوز و مکاواس یا 136.0.7103.113 رو برای لینوکس نصب کنن. این آپدیت به طور خودکار از طریق قابلیت آپدیت خودکار کروم انجام میشه. اما میتونید دستی هم آپدیت رو از قسمت “درباره Google Chrome” توی منوی Help مرورگر شروع کنید. برای تکمیل نصب، لازمه که کروم رو یه بار ریاستارت کنید.
