Salı günü Google, Chrome tarayıcısındaki, aktif olarak yararlanılan sıfır gün kusuru da dahil olmak üzere dört güvenlik sorununu düzeltmek için güncellemeler yayınladı.
Sorun şu şekilde izlendi: CVE-2024-0519V8 JavaScript ve WebAssembly motorunda, tehdit aktörleri tarafından bir çökmeyi tetiklemek üzere silah olarak kullanılabilen, sınır dışı bellek erişimiyle ilgilidir.
“Bir saldırgan, sınır dışı belleği okuyarak, kod elde etmek için ayrı bir zayıflıktan yararlanma olasılığını ve güvenilirliği artırmak amacıyla ASLR gibi koruma mekanizmalarını atlayabilen bellek adresleri gibi gizli değerleri elde edebilir. MITRE’nin Ortak Zayıflık Sayımı’na (CWE) göre, yalnızca hizmet reddi yerine yürütme.
Saldırıların niteliği ve bunları istismar eden tehdit aktörleri hakkında ek ayrıntılar, daha fazla istismarın önlenmesi amacıyla gizlendi. Sorun 11 Ocak 2024’te isimsiz olarak bildirildi.
NIST’in Ulusal Güvenlik Açığı Veritabanındaki (NVD) kusurun açıklamasında “120.0.6099.224 öncesinde Google Chrome’daki V8’deki sınır dışı bellek erişimi, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına izin veriyordu” ifadesi yer alıyor.
Bu gelişme, Google tarafından 2024’te Chrome’da yamalanacak, aktif olarak yararlanılan ilk sıfır günü işaret ediyor. Geçen yıl teknoloji devi, tarayıcıda bu tür aktif olarak yararlanılan toplam 8 sıfır günü çözüme kavuşturdu.
Potansiyel tehditleri azaltmak amacıyla kullanıcıların Windows için Chrome 120.0.6099.224/225, macOS için 120.0.6099.234 ve Linux için 120.0.6099.224 sürümüne yükseltmeleri önerilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunuldukça uygulamaları önerilir.