أصدرت شركة جوجل تحديثًا أمنيًا طارئًا لمتصفح كروم يعالج أول ثغرة أمنية مكشوفة
جرى استغلالها في هجمات إلكترونية منذ مطلع العام الحالي.
وقالت عملاقة البحث الأمريكية في نشرة أمنية نُشرت يوم الجمعة:
«جوجل تعلم باستغلال CVE-2023-2033».
ويُطرح الإصدار الجديد من متصفح كروم للمستخدمين عبر قناة سطح المكتب المستقرة Stable Desktop،
وستبلغ المستخدمين جميعهم خلال الأيام أو الأسابيع المقبلة.
وينبغي لمستخدمي كروم الترقية إلى الإصدار ذي الرقم 112.0.5615.121
بأسرع ما يمكن، ذلك أنه يعالج ثغرة CVE-2023-2033 في أنظمة: ويندوز، وماك، ولينوكس.
وسيبحث متصفح الويب تلقائيًا عن أي تحديثات جديدة
ويثبتها حتى دون تدخل من المستخدم بعد إعادة التشغيل.
وأوضحت جوجل أن الثغرة المكشوفة الشديدة الخطورة CVE-2023-2033 ناجمة
عن ضعف شديد الخطورة فيما يُسمى «ارتباك النوع»
في محرك (كروم في8 جافاسكريبت) Chrome V8 JavaScript.
وأبلغ عن الثغرة المهندس في مجال أمن المعلومات (كليمنت ليساين)،
الذي يعمل لدى مجموعة تحليل التهديدات التابعة لشركة جوجل،
التي تركز في حماية عملاء جوجل من الهجمات التي تدعمها الدول.
وتكتشف مجموعة تحليل التهديدات التابعة لجوجل وتُبلِّغ مرارًا عن الثغرات المكشوفة
التي تستغلها جهات التهديد الفاعلة التي تدعمها الدول في الهجمات الشديدة الاستهداف،
التي تهدف إلى تثبيت برامج تجسس في أجهزة الأفراد المعرضين للخطر،
مثل: الصحفيين، والسياسيين المعارضين، والمنشقين عالميًا.
ومع أن ثغرات ارتباك النوع تسمح عادةً للمهاجمين بإحداث تعطل في متصفح الويب
بعد الاستغلال الناجح عن طريق قراءة الذاكرة وكتابتها خارج حدود المُخزِّن المؤقت،
يمكن لجهات التهديد الفاعلة أيضًا استغلالها للتنفيذ التعسفي للتعليمات البرمجية في الأجهزة المخترقة.
ومع أن جوجل قالت إنها تدرك وجود حالات استغلال لثغرة CVE-2023-2033
المكشوفة في هجمات، لم تكشف عن أي تفاصيل بشأن تلك الحوادث.
وقالت الشركة: «قد يبقى الوصول إلى تفاصيل الثغرة وروابطها مقيدًا
حتى يُثبِّت معظم المستخدمين الإصلاح».
وأضافت: «وسنحافظ على التقييد إن وُجِدت الثغرة في مكتبة خارجية
مما يعتمد عليها المشاريع الأخرى، ولكنها لم تُصلح».
وسيمسح هذا لمستخدمي جوجل كروم بترقية متصفحات الويب الخاصة
بهم ومنع محاولات الهجمات حتى تُطلق التفاصيل الفنية،
وذلك قبل أن تتمكن جهات التهديد الفاعلة من تطوير آليات الاستغلال الخاصة بها.
المصدر / البوابة العربية للأخبار التقنية
