در روز جمعه، گوگل بهروزرسانیهای فوقالعاده را برای رفع یک آسیبپذیری zero-day (روز صفر) در مرورگر وب Chrome خود منتشر کرد، که اولین اشکال از این نوع است که از ابتدای سال برطرف شده است.
این آسیبپذیری که دارای شدت بالا است با نام CVE-2023-2033 شناسایی شده و به عنوان یک مشکل اشتباه نوع (Type Confusion) در موتور جاوا اسکریپت V8 توصیف شده است. کلمن لسین (Clement Lecigne) از گروه تحلیل تهدید گوگل (TAG) برای گزارش این مسئله در تاریخ ۱۱ آوریل ۲۰۲۳ تقدیر شده است.
“اشتباه نوع در V8 در گوگل کروم قبل از نسخه ۱۱۲٫۰٫۵۶۱۵٫۱۲۱ باعث میشد تا یک حملهکننده از راه دور بتواند احتمالاً از طریق یک صفحه HTML ساختگی به فساد کپی اشیاء (Heap Corruption) سوء استفاده کند.” بر اساس پایگاه داده ملی آسیبپذیری NIST (NVD) است.
شرکت فناوری بزرگ تأیید کرد که “استفاده از CVE-2023-2033 در وضعیت واقعی وجود دارد” اما از ارائه جزئیات فنی اضافی یا شاخصهای نفوذ (IoCs) برای جلوگیری از سوء استفاده بیشتر توسط افراد متخلف خودداری کرد.
به نظر میرسد CVE-2023-2033 نیز شباهتهایی با CVE-2022-1096، CVE-2022-1364، CVE-2022-3723 و CVE-2022-4262 دارد – چهار آسیبپذیری دیگر از نوع اشتباه نوع در V8 که در سال ۲۰۲۲ توسط گوگل رفع شدهاند.
گوگل در سال گذشته مجموعاً نه باگ zero days را در کروم رفع نموده است . این توسعه روزهایی پس از اینکه Citizen Lab و Microsoft از استفادهی مشتریان یک فروشنده نرمافزار جاسوسی مرموز به نام QuaDream از یک نقص اکنون ترمیم شده در سیستمعامل اپل iOS برای هدف قرار دادن خبرنگاران، شخصیتهای مخالف سیاسی و کارمند یک سازمان غیر دولتی در سال ۲۰۲۱ خبر داد.
توصیه میشود کاربران به نسخه ۱۱۲٫۰٫۵۶۱۵٫۱۲۱ برای ویندوز، مکاواس و لینوکس ارتقاء دهند تا از بروز تهدیدات احتمالی جلوگیری شود. همچنین به کاربران مرورگرهای مبتنی بر کرومیوم مانند Microsoft Edge, Brave, Opera و Vivaldi توصیه میشود تا هنگامی که ترمیمها در دسترس باشند، آنها را اعمال کنند.
![[CVE-2025-4123] هشدار امنیتی بحرانی – Path Traversal، Open Redirect و XSS در Grafana](https://padrasys.ir/wp-content/uploads/images-1.png)
