به گفته گوگل، این آسیبپذیری به مهاجمان اجازه میدهد کنترل بخشی از مرورگر کاربران بازار را به دست گرفته و اطلاعات حساس آنها را در معرض خطر قرار دهند. با توجه به اینکه این باگ به عنوان روز صفر طبقهبندی شده است، پیش از انتشار رسمی وصله امنیتی، هکرها توانستهاند از آن بهرهبرداری کنند، امری که اهمیت بهروزرسانی فوری را دوچندان میکند.
کارشناسان امنیت سایبری هشدار دادهاند که روز صفرها به دلیل ناشناخته بودن و قابلیت سوءاستفاده سریع، جزو خطرناکترین تهدیدات سایبری محسوب میشوند. به همین دلیل، مرورگرهای محبوب مانند کروم، که میلیونها کاربر در سراسر جهان از آن استفاده میکنند، هدف اول مهاجمان تمامی گجت ها، حتی گوشی های هوشمند قرار میگیرند.
گوگل همچنین تأکید کرده است که وصله امنیتی جدید شامل اصلاحات دیگر برای بهبود محافظت مرورگر در برابر حملات پیچیده و بهرهبرداریهای احتمالی است. شرکتهای امنیتی توصیه میکنند کاربران علاوه بر بروزرسانی مرورگر، از افزونهها و ابزارهای امنیتی اضافی برای افزایش محافظت استفاده کنند.
کارشناسان هشدار میدهند که این نوع آسیبپذیریها میتواند زمینه حملات فیشینگ، سرقت رمز عبور و نفوذ به حسابهای آنلاین را فراهم کند. بنابراین، بهروزرسانی فوری مرورگر و مراقبت از لینکها و فایلهای مشکوک، اولین و مهمترین خط دفاع کاربران محسوب میشود.
در نهایت، انتشار این آپدیت نشان میدهد که شرکتهای فناوری بزرگ هرچند به سرعت برای رفع حفرههای امنیتی اقدام میکنند، اما کاربران نیز باید در برابر تهدیدات سایبری فعال باشند و همواره نرمافزارهای خود را بهروز نگه دارند تا در دام هکرها نیفتند.
بنا به ادعای گوگل، این آسیبپذیری ناشی از یک باگ در CSSFontFeatureValuesMap است. این بخش مسئول پیادهسازی مقادیر ویژگیهای فونت در CSS است. اگر هکرها از این باگ استفاده کنند، میتوانند باعث کرشکردن مرورگر، مشکل در نمایش صفحات یا تخریب دادهها شوند. گوگل اعلام کرده که این وصله امنیتی بخشی از یک مشکل فوری را حل میکند، اما کارهای تکمیلی برای رفع کامل ریشههای این باگ همچنان درحال انجام است.
نسخههای جدید کروم که حاوی این پچ امنیتی هستند، طی روزها و هفتههای آینده به دست تمام کاربران جهانی خواهند رسید. نسخههای ایمن عبارتاند از:
نکته قابلتوجه این است که گوگل به دلیل خطر بالای حمله، منتظر نسخه اصلی بعدی کروم نمانده و این تغییر را فوراً به نسخه فعلی اضافه کرده است.
سیاست گوگل در قبال حملات روز صفر (حملاتی که قبل از آگاهی سازنده نرمافزار رخ میدهند) معمولاً سکوت خبری است، البته تا زمانی که دیگر خطری وجود نداشته باشد. این شرکت میگوید: «دسترسی به جزئیات باگ و لینکهای مربوطه محدود باقی میماند تا زمانی که اکثر کاربران با نصب آپدیت، ایمن شوند.»
اگر این باگ در کتابخانههای شخص ثالث وجود داشته باشد که پروژههای دیگر نیز به آن وابستهاند، محدودیتهای اطلاعرسانی تا زمان رفع مشکل در آن پروژهها نیز ادامه خواهد یافت. سال گذشته گوگل مجموعاً ۸ آسیبپذیری روز صفر را که در حملات جاسوسی علیه افراد پرخطر استفاده میشد، شناسایی و رفع کرد.
