أصدرت Google يوم الجمعة تحديثات خارج النطاق لحل عيب تم استغلاله بشكل نشط في متصفح الويب Chrome ، مما يجعله أول خطأ من هذا القبيل يتم معالجته منذ بداية العام.
تم تتبع الثغرة الأمنية شديدة الخطورة باعتبارها CVE-2023-2033 ، باعتبارها مشكلة تشويش النوع في محرك جافا سكريبت V8. كليمان ليسين من Google Threat Analysis Group (TAG) قد نُسب إليه الفضل في الإبلاغ عن المشكلة في 11 أبريل 2023.
"نوع الارتباك في V8 في Google Chrome قبل 112.0.5615.121 سمح للمهاجم عن بعد باستغلال تلف الكومة عبر صفحة HTML مُعدّة ،" وفقًا لقاعدة بيانات NIST's National Vulnerability Database (NVD).
أقر عملاق التكنولوجيا بأن "استغلال CVE-2023-2033 موجود في البرية" ، لكنه توقف عن مشاركة التفاصيل الفنية الإضافية أو مؤشرات التسوية (IoCs) لمنع المزيد من الاستغلال من قبل الجهات الفاعلة في التهديد.
يبدو أيضًا أن CVE-2023-2033 تشترك في أوجه التشابه مع CVE-2022-1096 و CVE-2022-1364 و CVE-2022-3723 و CVE-2022-4262 - أربعة عيوب أخرى من النوع الذي يتم إساءة استخدامه بشكل نشط في V8 والتي تم إصلاحها بواسطة Google في عام 2022.
أغلقت Google إجمالي تسعة أيام صفر في Chrome العام الماضي. يأتي هذا التطور بعد أيام من كشف Citizen Lab و Microsoft عن استغلال ثغرة مصححة الآن في Apple iOS من قبل عملاء بائع برامج تجسس غامض يُدعى QuaDream لاستهداف الصحفيين وشخصيات المعارضة السياسية وعامل في منظمة غير حكومية في عام 2021.
يأتي أيضًا في غضون أسبوع من إصدار Apple تحديثات لإصلاح ثغرتين تم استغلالهما بنشاط في اليوم صفر ( CVE-2023-28205 و CVE-2023-28206 ) في مستعرض الويب iOS و iPadOS و macOS و Safari والذي قد يؤدي إلى تنفيذ تعليمات برمجية عشوائية .
يُنصح المستخدمون بالترقية إلى الإصدار 112.0.5615.121 لأنظمة Windows و macOS و Linux لتقليل التهديدات المحتملة. يُنصح أيضًا مستخدمو المتصفحات المستندة إلى Chromium مثل Microsoft Edge و Brave و Opera و Vivaldi بتطبيق الإصلاحات عندما تصبح متاحة.