Google, iki hafta içinde dördüncü ve 2024’te genel olarak sekizinci sıfır gün güvenlik açığını gidermek için Perşembe günü yeni bir Chrome güncellemesi yayınladı.
CVE-2024-5274 olarak takip edilen yüksek önemdeki kusurun kökeni Chrome V8’deki tür karışıklığı zayıflığından kaynaklanıyor JavaScript ve WebAssembly motoru.
Şirket, bir danışma belgesinde “Google, CVE-2024-5274’e yönelik bir istismarın ortalıkta mevcut olduğunun farkında” dedi.
Google, hata veya istismar hakkında ayrıntılı bilgi vermedi ancak kusuru bildirdikleri için Google’ın Tehdit Analizi Grubundan (TAG) Clement Lecigne ve Chrome Güvenlik’ten Brendon Tiszka’ya itibar etti. Bu keşif için herhangi bir hata ödülü ödülüne ilişkin bilgi yoktur.
İnternet Güvenliği Merkezi, “Bu güvenlik açığının başarılı bir şekilde kullanılması, oturum açan kullanıcı bağlamında rastgele kod yürütülmesine olanak sağlayabilir” dedi. Oturum açan kullanıcıyla ilişkili ayrıcalıklara bağlı olarak saldırgan, programları yükleyebilir; verileri görüntüleme, değiştirme veya silme; veya tam kullanıcı haklarına sahip yeni hesaplar oluşturun. Hesapları sistemde daha az hakka sahip olacak şekilde yapılandırılmış kullanıcılar, yönetici kullanıcı haklarıyla çalışan kullanıcılara göre daha az etkilenebilir.”
Chrome’daki güvenlik açıkları genellikle ticari casus yazılım satıcıları tarafından hedef alınır. Google TAG araştırmacıları daha önce Google’ın tarayıcısındaki güvenlik kusurları da dahil olmak üzere casus yazılım satıcıları tarafından istismar edilen birkaç sıfır gün rapor etmişti.
CVE-2024-5274, CVE-2024-4671 (Görsellerde ücretsiz kullanım), CVE-2024-4761 (V8’de sınır dışı yazma) sonrasında son 15 gün içinde uygulanan dördüncü sıfır gün yamasıdır. ve CVE-2024-4947 (V8’deki tür karışıklığı).
Bu yıl şu ana kadar Google, toplam sekiz Chrome sıfır gününü çözüme kavuşturdu. Bunlardan üçü (CVE-2024-2886, CVE-2024-2887 ve CVE-2024-3159), Mart ayındaki Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışmasında gösterildi.
2024’te yayınlanan sıfır günlerin tam listesi:
- CVE-2024-0519: V8’de sınırların dışında belleğe erişim
- CVE-2024-2886: WebCodecs’te ücretsiz kullanım (Pwn2Own 2024’te sunulmuştur)
- CVE-2024-2887: WebAssembly’de tür karışıklığı (Pwn2Own 2024’te sunulmuştur)
- CVE-2024-3159: V8’de sınır dışı bellek erişimi (Pwn2Own 2024’te sunulmuştur)
- CVE-2024-4671 – Görsellerde ücretsiz kullanım
- CVE-2024-4761 – V8’de sınırların dışında yazma
- CVE-2024-4947 – V8’de tip karışıklığı
En son Chrome sürümü şu anda kullanıma sunuldu: 125.0.6422.112 Linux için ve 125.0.6422.112/.113 Windows ve macOS için. Google ayrıca aynı güvenlik düzeltmeleriyle Android için Chrome’un 125.0.6422.112/.113 sürümünü de yayınladı.
Opera, Chrome Zero-Day’i Düzeltmek İçin Güncellemeyi Yayınladı
Opera tarayıcısının mevcut sürümü, Google Chrome’un kullandığı motorun aynısı olan Chromium’u temel almaktadır. Opera aynı hatayı düzeltmek için Cuma günü bir sonraki yama yayınladı.
Sevgili Opera Kullanıcıları!
Opera’nın en son kararlı sürümü – 110.0.5130.39, CVE-2024-5274 için önemli bir 0 günlük düzeltmeyi içerir ve kullanıcı güvenliğini artırır. Bu güncelleme herkes için daha güvenli gezinme sağlar.
Opera, Windows, macOS, Linux, Android ve iOS’ta mevcuttur.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.