یک آسیب پذیری امنیتی روز صفر در مرورگر کروم گوگل به طور فعال در طبیعت مورد سوء استفاده قرار می گیرد.
غول اینترنت این هفته 11 وصله امنیتی را برای کروم منتشر کرد که اکنون به صورت مرحلهای به نسخههایی که بهروزرسانیهای خودکار را برای ویندوز، مک و لینوکس فعال کردهاند ارائه میکنند. با این حال، همه می توانند اکنون به صورت دستی به روز شوند.
روز صفر (CVE-2022-2856) بهعنوان شدت بالا رتبهبندی میشود و با توجه به «تأیید ناکافی ورودی نامعتبر در Intent» مشاوره گوگل.
Intent ها، جایی که اشکال وجود دارد، توسط Chrome برای پردازش ورودی کاربر استفاده می شود. اگر مرورگر این ورودی را به درستی تأیید نکند، مهاجم میتواند بهویژه یک ورودی (مثلاً یک پست در بخش نظرات یک وبسایت) ایجاد کند که مورد انتظار برنامه نیست.
"این منجر به دریافت ورودی های ناخواسته بخش هایی از سیستم می شود که ممکن است منجر به تغییر جریان کنترل، کنترل دلخواه یک منبع یا اجرای کد دلخواه شود." به گفته MITER.
سایر جزئیات این اشکال ناچیز است - Google معمولاً جزئیات را تا زمانی که نصابی از کاربران بهروزرسانیها را اعمال نکرده باشند محدود میکند.
با این حال، «گوگل میداند که یک سوء استفاده برای CVE-2022-2856 در طبیعت وجود دارد»، بنابراین کاربران باید همین الان وصله کنند.
این پنجمین آسیبپذیری روز صفر است که به طور فعال مورد سوء استفاده قرار میگیرد کروم در سال 2022. چهار مورد قبلی عبارتند از: CVE-2022-0609 (فوریه)، CVE-2022-1096 (مارس)، CVE-2022-1364
(آوریل)، و CVE-2022-2294
(جولای).