Google, yaygın olarak kullanıldığını söylediği yüksek önemdeki sıfır gün kusurunu gidermek amacıyla Chrome web tarayıcısı için güvenlik güncellemeleri yayınladı.
CVE tanımlayıcısı atanan güvenlik açığı CVE-2023-7024WebRTC çerçevesinde program çökmelerine veya rastgele kod yürütülmesine neden olacak şekilde istismar edilebilecek yığın tabanlı bir arabellek taşması hatası olarak tanımlandı.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Clément Lecigne ve Vlad Stolyarov, kusuru keşfetme ve bildirme konusunda itibar kazandı.
Google, “CVE-2023-7024’e yönelik bir istismarın ortalıkta mevcut olduğunu” kabul ederken, daha fazla kötüye kullanımı önlemek için güvenlik kusuruyla ilgili başka hiçbir ayrıntı yayınlanmadı.
Bu gelişme, yılın başından bu yana Chrome’da aktif olarak kullanılan sekizinci sıfır günün çözümünü işaret ediyor –
Qualys tarafından derlenen verilere göre, 2023’te şu ana kadar toplam 26.447 güvenlik açığı açığa çıkarıldı; bu rakam bir önceki yılı 1.500’den fazla CVE geride bıraktı ve 115 güvenlik açığı tehdit aktörleri ve fidye yazılımı grupları tarafından kullanıldı.
Uzaktan kod yürütme, güvenlik özelliklerini atlama, arabellek manipülasyonu, ayrıcalık yükseltme ve giriş doğrulama ve ayrıştırma kusurları en önemli güvenlik açığı türleri olarak ortaya çıktı.
Potansiyel tehditleri azaltmak amacıyla kullanıcıların Windows için Chrome 120.0.6099.129/130 ve macOS ve Linux için 120.0.6099.129 sürümüne yükseltmeleri önerilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunuldukça uygulamaları önerilir.