أصدرت شركة جوجل يوم الثلاثاء تحديثًا أمنيًا جديدًا لمتصفح الويب (كروم) Chrome لإصلاح الثغرة المكشوفة الثانية التي استُغلِّت في هجمات هذا العام.
وقالت عملاقة التقنية الأمريكية في نشرة أمنية: «جوجل تعلم باستغلال CVE-2023-2136».
ويحمل الإصدار الجديد من متصفح كروم الرقم 112.0.5615.138، وهو يُصلح ما مجموعه ثماني نقاط ضعف. ويمكن لمستخدمي نظامي ويندوز من مايكروسوفت، وماك من آبل تنزيل الإصدار المستقر الآن، أما مستخدمو لينوكس فسيحصلون على التحديث قريبًا، وفق قول جوجل.
ولتحديث متصفح كروم يدويًا إلى الإصدار الأخير الذي يعالج مشكلة الأمان المستغلة بنشاط، يمكنك التوجه إلى قائمة (الإعدادات) Settings، ثم اختيار (مساعدة) Help، ثم (حول جوجل كروم) About Google Chrome. وإلا فإن التحديثات تُثبَّت تلقائيًا في المرة التالية التي يُشغَّل فيها المتصفح دون الحاجة إلى تدخل المستخدم. هذا، ويلزم إعادة تشغيل التطبيق لإكمال التحديث.
وأوضحت جوجل أن CVE-2023-2136 هي ثغرة أمنية عالية الخطورة تتسبب في تجاوز عدد صحيح في Skia، وهي مكتبة متعددة الأنظمة ومفتوحة المصدر للرسومات الثنائية الأبعاد، وهي مملوكة لشركة جوجل ومكتوبة بلغة (سي بلس بلس) ++C.
وتزود مكتبة Skia متصفح كروم بمجموعة من واجهات برمجة التطبيقات لعرض الرسومات والنصوص والأشكال والصور والرسوم المتحركة، وتعد مكونًا رئيسيًا في مسار عرض المتصفح.
وباستغلال الثغرة المكتشفة، قد يؤدي ذلك إلى عرض غير صحيح وتلف في الذاكرة وتنفيذ تعسفي للتعليمات البرمجية، ومن ثم إلى وصول غير مصرح به إلى النظام.
وأبلغ عن الثغرة المهندس في مجال أمن المعلومات (كليمنت ليساين)، الذي يعمل لدى مجموعة تحليل التهديدات التابعة لشركة جوجل، التي تركز في حماية عملاء جوجل من الهجمات التي تدعمها الدول، وذلك في وقت سابق من الشهر الحالي.
وتكتشف مجموعة تحليل التهديدات التابعة لجوجل وتُبلِّغ مرارًا عن الثغرات المكشوفة التي تستغلها جهات التهديد الفاعلة التي تدعمها الدول في الهجمات الشديدة الاستهداف، التي تهدف إلى تثبيت برامج تجسس في أجهزة الأفراد المعرضين للخطر، مثل: الصحفيين، والسياسيين المعارضين، والمنشقين عالميًا.
ووفقًا لما اعتادت عليه جوجل عند إصلاح الثغرات التي تُستغَّل بنشاط في كروم، لم تكشف الشركة عن العديد من التفاصيل بشأن كيفية استخدام CVE-2023-2136 في الهجمات.
وقالت الشركة في نشرتها الأمنية: «قد يبقى الوصول إلى تفاصيل الثغرة وروابطها مقيدًا حتى يُثبِّت معظم المستخدمين الإصلاح». وأضافت: «وسنحافظ على التقييد إن وُجِدت الثغرة في مكتبة خارجية مما تعتمد عليه المشاريع الأخرى، ولكنها لم تُصلح».
يُشار إلى أن جوجل أصدرت يوم الجمعة الماضي تحديثًا طارئًا آخر لمتصفح كروم لإصلاح الثغرة CVE-2023-2033، وهي أول ثغرة أمنية مكشوفة جرى استغلالها في هجمات إلكترونية منذ مطلع العام الحالي.