أعلنت شركة جوجل عن إصدار تحديث أمني لمعالجة ثغرة أمنية حرجة في متصفح “جوجل كروم”، تم تتبعها تحت الرمز CVE-2024-10487، وذلك بعد أن تم الإبلاغ عنها من قبل فريق هندسة وأمن المعلومات في شركة آبل (SEAR) في 23 أكتوبر 2024.
وتكمن الثغرة في خلل من نوع “out-of-bounds write” ضمن تنفيذ “Dawn”، وهو مشروع مفتوح المصدر يستخدم لتنفيذ معيار WebGPU على مختلف المنصات، ويعد Dawn المكون الأساسي الذي تعتمد عليه واجهة WebGPU في متصفح كروميوم (Chromium)، والذي يستخدم بدوره في متصفح جوجل كروم.
حتى الآن، لا توجد تأكيدات رسمية حول ما إذا كانت هذه الثغرة قد استغلت في هجمات فعلية.
إلى جانب هذه الثغرة، عالجت جوجل أيضا ثغرة أخرى عالية الخطورة تم تتبعها تحت الرمز CVE-2024-10488، وهي من نوع “use-after-free” وتوجد في إطار عمل WebRTC، وتم الإبلاغ عنها من قبل الباحث الأمني كاسيدي كيم (@cassidy6564) في 18 أكتوبر 2024.
وقد تم تضمين الإصلاحات في التحديث الجديد لمتصفح كروم الإصدار 130، والذي أصبح متاحا على النحو التالي:
-
الإصدار 130.0.6723.91/.92 لكل من أنظمة ويندوز وماك
-
الإصدار 130.0.6723.91 لنظام لينكس
-
كما تم تحديث القناة الممتدة (Extended Stable) إلى الإصدار 130.0.6723.92 لويندوز وماك
وذكرت جوجل في بيانها: “كالعادة، يتم تقييد تفاصيل الثغرات وروابطها لحين وصول التحديث إلى معظم المستخدمين، وذلك حفاظا على الأمان.”
يذكر أن متصفح جوجل كروم يعد هدفا رئيسيا للهجمات الإلكترونية، وغالبا ما يستغله المهاجمون عبر ثغرات “زيرو-داي”، ففي أغسطس الماضي، أصدرت جوجل تحديثا أمنيا لمعالجة ثغرة جديدة وخطيرة تم تتبعها تحت الرمز CVE-2024-7965، والتي تم تصنيفها بدرجة خطورة 8.8 على مقياس CVSS، حيث كانت قيد الاستغلال النشط، وكانت هذه الثغرة ناجمة عن “تنفيذ غير مناسب” في محرك JavaScript المعروف باسم V8 داخل كروم.
