أصدرت شركة جوجل تحديث Chrome 88 برقم الإصدار 88.0.4324.150 لأنظمة التشغيل ويندوز وماك ولينكس، ومن المهم أكثر من المعتاد التحديث إلى أحدث إصدار من متصفح كروم، وذلك تبعًا إلى أن التحديث يصلح ثغرة أمنية تقول عملاقة البحث: إنه يتم استغلالها بشكل نشط.
ولا تقدم جوجل تفاصيل محددة حول الثغرة الأمنية المسماة CVE-2021-21148 حتى يحصل غالبية المستخدمين على تحديث Chrome 88، بما في ذلك تفاصيل بشأن الجهات الفاعلة وراء هذه الهجمات.
لكن التقارير تشير إلى أن التاريخ الذي قالت فيه جوجل إنه تم الإبلاغ عن الخطأ (24 يناير) هو قبل يوم واحد فقط من كشف مجموعة تحليل التهديدات من جوجل علنًا عن حملة قرصنة يبدو أنها تعتمد جزئيًا على ثغرة أمنية لم يتم إصلاحها في كروم.
وقالت عملاقة البحث: إن قراصنة مدعومين من الحكومة في كوريا الشمالية أنشأوا مدونة لاستهداف الباحثين الأمنيين، مما قد يصيب أجهزتهم حتى لو كانوا يشغلون برمجيات مصححة بالكامل.
وبغض النظر عن الخطأ الذي يتم تصحيحه، فمن المهم أكثر من المعتاد التأكد من أنك تقوم بتشغيل أحدث إصدار من متصفح كروم.
ووفقًا لتدوينة، أبلغ الباحث الأمني (ماتياس بيولينز) ​​Mattias Buelens عن وجود ثغرة أمنية في WebAssembly من متصفح كروم ومحرك JavaScript V8، مما قد يسمح للمهاجم بتنفيذ التعليمات البرمجية عبر حاسب الضحية.
وفي تقرير صدر في 28 يناير، قالت شركة مايكروسوفت: إن المهاجمين على الأرجح استخدموا ثغرة في متصفح كروم لشن هجماتهم.
ولم تدخل جوجل في التفاصيل حول المشكلة، لكنها قالت: إنها على علم بالتقارير التي تفيد بأن الخطأ يتم استغلاله، لذا عليك التحديث على الفور إلى Chrome 88.
وفي ملاحظة، قالت جوجل: يتم تقييد الوصول إلى تفاصيل الأخطاء والروابط حتى تحصل غالبية المستخدمين على التحديث، ونحتفظ أيضًا بالقيود في حالة وجود الخطأ في مكتبة تابعة لجهة خارجية تعتمد عليها المشروعات الأخرى ولم يتم إصلاحها بعد.
ويجب أن يوفر هذا لمستخدمي المتصفح وقتًا إضافيًا لتثبيت التحديث الأمني ​ولمنع المهاجمين من إنشاء عمليات استغلال أخرى تستهدف هذا الخطأ.
وأصلحت جوجل في العام الماضي 5 ثغرات أمنية في متصفح كروم جرى استغلالها بنشاط، وكل ذلك في غضون شهر واحد، بين 20 أكتوبر و 12 نوفمبر.