Google Sınır Dışı Bellek Erişim Kusurunu Düzeltiyor, Microsoft Edge Tarayıcısı da Etkileniyor
Sayın Mihir (MihirBagwe) •
17 Ocak 2024
Google, yılın ilk sıfır gün güvenlik açığı için Chrome web tarayıcısında bir acil durum düzeltmesi yayınladı ve hatanın aktif olarak istismar edildiğine dair uyarıda bulundu.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Silikon Vadisi devi, Salı günü, CVE-2024-0519 olarak takip edilen güvenlik açığı hakkında çok az ayrıntı veren bir danışma belgesinde, bunun V8 JavaScript işleme motorunda bir sınır dışı bellek erişim kusuru olduğunu söylemek dışında sınırlı ayrıntıları açıkladı.
Yüksek önem derecesine sahip sıfır gün, uzaktaki bir saldırganın hazırlanmış kötü amaçlı bir HTML sayfası kullanarak yığın bozulmasından yararlanmasına olanak tanıyabilir.
Microsoft, mevcut sıfır gün istismarının farkında olduğunu ve Edge tarayıcısı için Chromium açık kaynak kodunu temel alan bir yama geliştirdiğini söyledi. Kullanıcıların Edge tarayıcısının gelişmiş güvenlik modu özelliğini tercih etmeleri önerildi.
Microsoft, “alışılmadık sitelere daha koruyucu güvenlik ayarlarını otomatik olarak uygulayarak saldırı riskini azaltmaya yardımcı olan ve siz gezinmeye devam ettikçe zaman içinde uyum sağlayan” “derinlemesine savunma” yaklaşımını izleyen bir dizi gelişmiş güvenlik özelliği tasarladı.
Ağustos ayı itibarıyla Chrome web tarayıcısının dünya çapındaki pazar payı kabaca yarı yarıya olurken, Edge yaklaşık %8’lik bir pazar payına sahip oldu.
Kusur, Google’ın C++ dilinde yazılmış açık kaynaklı JavaScript ve WebAssembly motoru V8’dedir. Bu motor, JavaScript kodunu doğrudan makine koduna (CPU’ların anlayabileceği dijital bir dil) çevirir, böylece bilgisayarlar çevrilmiş veya derlenmiş kodu çalıştırabilir. V8, Google Chrome, Brave, Opera, Vivaldi ve Microsoft Edge’de yaygın olarak kullanılmaktadır.
Bilgisayar korsanları 2023’te V8 motorunu da hedef aldı. Google, geçen yıl iki V8 sıfır gününü (CVE-2023-3079 ve CVE-2023-2033) yamaladı.