شب گذشته و همزمان با پرپایی هالویین گوگل با انتشار یک بهروزرسانی اضطراری ترسی را به جان کاربران انداخت که برخلاف نمایشهای هالووین کاملا واقعی بود.
رویداد۲۴ بهروزرسانی ۷۸.۰.۳۹ کروم برای رفع آسیب پذیری روز صفر CVE-۲۰۱۹-۱۳۷۲۰ منتشر شد که توسط دو مهندس کسپرسکی به نامهای «آنتون ایوانف» و «الکسی کولائف» در نسخه ۷۸ این مرورگر شناسایی شده بود. این حفره امنیتی از نوع باگهای use after free است و در کامپوننت صوتی کروم کشف شده است.
این نوع باگ ناشی از تخریب حافظه است و زمانی رخ میدهد که یک اپلیکیشن در پی استفاده از فضایی در حافظه است که پس از آزادسازی به اپ دیگری اختصاص یافته. این سناریو معمولا باعث کرش اپ میشود، اما گاهی اوقات عواقب بدتری نظیر اجرای کدهای مخرب را به دنبال دارد.
آنطور که کسپرسکی میگوید از این آسیب پذیری روز صفر برای نصب بدافزار روی دستگاههای کاربران سوءاستفاده شده است. هرچند محققان امنیتی گروه خاصی را به عنوان عاملان این نفوذ معرفی نکرده اند، اما کدهای پیدا شده شباهتهایی با بدافزار هکرهای منتسب به کره شمالی وجود دارد. کمپانی روسی در حال ردیابی حملات مبتنی بر این باگ روز صفر با اسم رمز Operation WizardOpium است.
این دومین بار در سال جاری میلادی است که سر و کله آسیب پذیریهای روز صفر در مرورگر کروم پیدا میشود. اسفند گذشته محققان از آسیب پذیری بسیار خطرناکی در مرورگر مذکور خبر دادند که به هکرها اجازه میداد با اجرای کدهای مخرب، کنترل رایانه قربانی را از راه دور در اختیار بگیرند.
در خبر دیگری مربوط به کروم، گوگل در نهایت واسط برنامه نویسی واقعیت افزوده WebXR API را منتشر کرد که امکان ارائه تجربیات بهینه VR و AR برای موبایل و هدستهای واقعیت افزوده در این مرورگر را به توسعه دهندگان میدهد.
منبع: دیجیاتو