تنبيه ، مستخدمو Google Chrome: قم بتصحيح المستعرضات الخاصة بك إذا استطعت ، نظرًا لوجود ثغرة أمنية يتم استخدامها حاليًا في الهجمات النشطة.
العيب موجود في مكتبة الخطوط FreeType التي يقوم عليها Chrome وجميع المتصفحات القائمة على Chromium ، بما في ذلك Brave و Microsoft Edge الجديد و Opera و Vivaldi وعشرات من المتصفحات الأخرى.
يسمح الخطأ في الطريقة التي تتعامل بها مكتبة FreeType مع أحجام الصور بتجاوز سعة المخزن المؤقت للذاكرة ، مما يسمح للقراصنة ومواقع الويب الضارة بتشغيل تعليمات برمجية غير مصرح بها وربما الاستيلاء على المتصفح.
كتب مدير برنامج Google التقني Prudhvikumar Bommana على مدونة Chrome الرسمية يوم الثلاثاء (20 أكتوبر): "تم تحديث القناة الثابتة إلى 86.0.4240.111 لنظام التشغيل Windows و Mac و Linux والتي سيتم طرحها خلال الأيام / الأسابيع المقبلة" .
نظرًا لأن الخلل يكمن في Chromium ، وهو الأساس مفتوح المصدر لـ Chrome ، فستحتاج المتصفحات الأخرى المستندة إلى Chromium إلى التحديث أيضًا.
لم نر أي تحديثات متاحة لـ Brave أو Edge حتى كتابة هذه السطور في 21 أكتوبر.
لتحديث Chrome يدويًا على نظامي التشغيل Windows و macOS ، يمكنك في معظم الحالات إعادة تشغيل المتصفح وسيتم تثبيت التحديث تلقائيًا في حالة توفر تحديث.
(كان متاحًا لمتصفح Chrome على جهاز الكمبيوتر الأساسي الذي يعمل بنظام Windows.)
بخلاف ذلك ، انقر فوق النقاط الثلاث المكدسة في الزاوية اليمنى العليا من نافذة المتصفح ، وانقل النوافذ المنبثقة لأسفل إلى التعليمات ، ثم انقر فوق حول Google Chrome. سيتم فتح علامة تبويب جديدة وبدء التحديث إذا كان متاحًا ، وبعد ذلك يتعين عليك إعادة تشغيل المتصفح.
إجراء التحديث هو نفسه في Brave. في Edge ، إنها "ثلاث نقاط" -> الإعدادات -> حول Microsoft Edge. قد تختلف مشتقات Chromium الأخرى في إجراءات التحديث الخاصة بها.
في Linux ، تعتمد تحديثات Chrome على التوزيع الخاص بك. (يقوم Ubuntu بإدخال تحديثات Chrome في التحديثات اليومية المنتظمة طالما أن مدير التحديث لديك مهيأ بشكل صحيح.) على الأجهزة المحمولة ، يجب أن تطالبك التطبيقات بالتحديث عند توفر تحديث.
تم اكتشاف خطأ FreeType ، المُدرج في قائمة CVE-2020-15999 والمصنف على أنه "عالي الخطورة" ، بواسطة سيرجي جلازونوف من Google.
لم يقدم بومانا ولا جلازونوف تفاصيل حول من كان يستغل هذا الخلل ، على الرغم من أنه من المتوقع أن تنشر Google التفاصيل الفنية في 26 أكتوبر.
ولكن نظرًا لأن Glazunov نشر رمزًا للتصحيح على منتدى مطوري FreeType ، فمن المحتمل أن يتمكن المهاجمون الآخرون من اكتشاف الخطأ وصياغة مآثرهم الخاصة.
تم تصحيح أربعة ثغرات أمنية أخرى في Chrome 86.0.4240.111 لسطح المكتب وتتراوح شدتها من "عالية" إلى "متوسطة".
لم يذكر Bommana Chrome على الأجهزة المحمولة ، ولكن إصدار Android من Chrome حصل على تحديث للإصدار 86.0.4240.110 هذا الصباح ، والذي ربما يكون مرتبطًا. تم تحديث جهاز Chromebook إلى الإصدار 85.0.4183.131 ، والذي يبدو أنه قد يكون مختلفًا.