دفعت Google تحديثًا لإصدار Windows من متصفح الويب Chrome الخاص بها لإصلاح ثغرة يوم الصفر (zero-day vulnerability) التي يتم استغلالها بنشاط على مجال واسع.
تم تصحيح الخطأ شديد الخطورة، الذي تم تتبعه كـ CVE-2022-2294، باستخدام أحدث إصدار من Chrome (103.0.5060.114)، وفقًا لتقارير BleepingComputer.
عادةً ما يتم تحديث Google Chrome تلقائيًا، بمجرد فتح المتصفح من قبل المستخدم، لذلك هناك فرصة جيدة لإصلاح العديد من عمليات التثبيت بالفعل. ومع ذلك، تقول Google إن الأمر قد يستغرق عدة أسابيع حتى يصل التصحيح إلى الفترة المتبقية.
تم تصحيح الخطأ شديد الخطورة، الذي تم تتبعه كـ CVE-2022-2294، باستخدام أحدث إصدار من Chrome (103.0.5060.114)، وفقًا لتقارير BleepingComputer.
عادةً ما يتم تحديث Google Chrome تلقائيًا، بمجرد فتح المتصفح من قبل المستخدم، لذلك هناك فرصة جيدة لإصلاح العديد من عمليات التثبيت بالفعل. ومع ذلك، تقول Google إن الأمر قد يستغرق عدة أسابيع حتى يصل التصحيح إلى الفترة المتبقية.
اختصار في التفاصيل
في غضون ذلك، تحجب Google تفاصيل الثغرة الأمنية واستغلالها، حتى لا تعطي مجرمي الإنترنت أي أفكار. سيتعين علينا الانتظار لفترة أطول قليلاً للتعرف على البرامج الضارة التي يتم استخدامها للاستفادة من الخلل.
وقالت جوجل: "قد يتم تقييد الوصول إلى تفاصيل الأخطاء والروابط حتى يتم تحديث غالبية المستخدمين بإصلاح". "سنحتفظ أيضًا بالقيود إذا كان الخطأ موجودًا في مكتبة تابعة لجهة خارجية تعتمد عليها المشروعات الأخرى بالمثل، ولكن لم يتم إصلاحها بعد".
نحن نعلم أن الخلل هو ضعف شديد الخطورة في تجاوز سعة المخزن المؤقت، والذي اكتشفه جان فويتيسيك من Avast، في مكون WebRTC (اتصالات الويب في الوقت الفعلي).
يمكن لممثلي التهديد الذين ينجحون في استغلال هذا الخطأ بنجاح تعطيل البرامج وتشغيل تعليمات برمجية عشوائية على نقاط النهاية المتأثرة.
هذا بالكاد هو أول خطأ في يوم الصفر قامت Google بإصلاحه هذا العام. في الواقع، هذا هو الرابع، بعد CVE-2022-0609 (تم التصحيح في فبراير)، و CVE-2022-1096 (تم التصحيح في مارس)، و CVE-2022-1364 (تم التصحيح في أبريل).
قال باحثون في ذلك الوقت إن المجموعة الأولى استفادت من الجهات الفاعلة التي ترعاها الدولة في كوريا الشمالية.
يُنصح المسؤولون بمراقبة Chrome، والتأكد من تثبيت التصحيح، في حالة عدم قيام المتصفح بذلك تلقائيًا.
