Google, Chrome’da yaygın olarak kullanılan kritik bir sıfır gün güvenlik açığı (CVE-2023-4863) için bir güvenlik güncellemesi yayınladı.
Güvenlik açığı hakkında (CVE-2023-4863)
CVE-2023-4863, JPEG, PNG ve GIF dosya formatlarının yerini alan bir raster grafik dosyası formatı olan WebP’yi işleyen bileşendeki kritik bir yığın arabellek taşması güvenlik açığıdır.
Arabellek taşmaları çökmelere, sonsuz döngülere neden olabilir ve isteğe bağlı kod yürütmek için kullanılabilir.
Google, “Kararlı ve Genişletilmiş kararlı kanallar, Mac ve Linux için 116.0.5845.187 ve Windows için 116.0.5845.187/.188 olarak güncellendi ve önümüzdeki günlerde/haftalarda kullanıma sunulacak” dedi.
Chrome genellikle kullanıcılar tarayıcıyı kapatıp yeniden açtığında güncellemeyi otomatik olarak uygular. Tarayıcı bir süredir kapatılmamışsa kullanıcılar, bekleyen bir güncellemeyi belirten renkli bir simge görecektir. Mac kullanıcıları ayrıca otomatik tarayıcı güncellemelerini de ayarlayabilir.
Sömürü
Google, CVE-2023-4863’ün vahşi doğada aktif olarak kullanıldığını ve Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ile Toronto Üniversitesi Munk Okulu’ndaki The Citizen Lab tarafından rapor edildiğini söylüyor.
Google, saldırıyla ilgili ayrıntıları henüz açıklamadı ancak kullanıcıları tarayıcılarını mümkün olan en kısa sürede güncellemeye çağırıyor.
Citizen Lab yakın zamanda Apple cihazlarını etkileyen iki sıfır gün güvenlik açığını (CVE-2023-41064, CVE-2023-41061) tespit etti. Güvenlik açıkları, NSO Group’un Pegasus casus yazılımını belirli yüksek riskli hedeflere dağıtmak için birbirine zincirlendi.
Apple, daha eski ve yeni iOS, iPadOS, macOS ve watchOS sürümlerindeki güvenlik açıklarından birini veya her ikisini düzeltti ve yüksek hedefli siber saldırı riskiyle karşı karşıya olan kişilere Kilitleme Modunu etkinleştirmelerini tavsiye etti.