یک آسیب پذیری امنیتی روز صفر در مرورگر کروم گوگل به طور فعال در طبیعت مورد سوء استفاده قرار می گیرد.

غول اینترنت این هفته 11 وصله امنیتی را برای کروم منتشر کرد که اکنون به صورت مرحله‌ای به نسخه‌هایی که به‌روزرسانی‌های خودکار را برای ویندوز، مک و لینوکس فعال کرده‌اند ارائه می‌کنند. با این حال، همه می توانند اکنون به صورت دستی به روز شوند.

روز صفر (CVE-2022-2856) به‌عنوان شدت بالا رتبه‌بندی می‌شود و با توجه به «تأیید ناکافی ورودی نامعتبر در Intent» مشاوره گوگل.

Intent ها، جایی که اشکال وجود دارد، توسط Chrome برای پردازش ورودی کاربر استفاده می شود. اگر مرورگر این ورودی را به درستی تأیید نکند، مهاجم می‌تواند به‌ویژه یک ورودی (مثلاً یک پست در بخش نظرات یک وب‌سایت) ایجاد کند که مورد انتظار برنامه نیست.

"این منجر به دریافت ورودی های ناخواسته بخش هایی از سیستم می شود که ممکن است منجر به تغییر جریان کنترل، کنترل دلخواه یک منبع یا اجرای کد دلخواه شود." به گفته MITER.

سایر جزئیات این اشکال ناچیز است - Google معمولاً جزئیات را تا زمانی که نصابی از کاربران به‌روزرسانی‌ها را اعمال نکرده باشند محدود می‌کند.

با این حال، «گوگل می‌داند که یک سوء استفاده برای CVE-2022-2856 در طبیعت وجود دارد»، بنابراین کاربران باید همین الان وصله کنند.

این پنجمین آسیب‌پذیری روز صفر است که به طور فعال مورد سوء استفاده قرار می‌گیرد کروم در سال 2022. چهار مورد قبلی عبارتند از: CVE-2022-0609 (فوریه)، CVE-2022-1096 (مارس)، CVE-2022-1364
(آوریل)، و CVE-2022-2294
(جولای).