Bu yılki saldırılarda kullanılan sekizinci sıfır gün güvenlik açığı, Google tarafından Chrome web tarayıcısının masaüstü sürümü için acil bir güvenlik yükseltmesiyle giderildi.
Bu yüksek öneme sahip sıfır gün güvenlik açığı, GPU’da bir Yığın arabellek taşması olan CVE-2022-4135 olarak izlenir. Güvenlik açığı, 22 Kasım 2022’de Google’ın Tehdit Analizi Grubundan Clement Lecigne tarafından tespit edildi.
Yığın taşması, arabellek taşmasının bir biçimidir; yığına bir yığın bellek tahsis edildiğinde ve veriler üzerinde herhangi bir sınır denetimi yapılmadan veriler bu belleğe yazıldığında gerçekleşir.
Bu nedenle, tehdit aktörleri, keyfi kod yürütmeye veya sınırsız bilgi erişimine yol açan bir yığın arabellek taşması kullanarak belleğinin üzerine yazarak bir uygulamanın yürütme yolunu manipüle edebilir.
Google’ın Acil Durum Güncellemesi
Google’ın güncelleme bildirimine göre, Mevcut ürün kanalı Mac ve Linux için 107.0.5304.121 ve Windows için 107.0.5304.121/.122 olarak güncellendi ve önümüzdeki günlerde/haftalarda kullanıma sunulacak.
“Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlı tutulabilir. Hata, diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında bulunuyorsa da kısıtlamaları sürdüreceğiz”, Google
Chrome’u güncellemek için Ayarlar → Chrome Hakkında → En son sürümün indirilmesinin bitmesini bekleyin → Programı yeniden başlatın seçeneğine gidin.
Google, bir sürüm notunda “Google, CVE-2022-4135 için bir istismarın vahşi ortamda bulunduğunun farkındadır” dedi.
Sıfırıncı Gün Güvenlik Açığı 2022’de Düzeltildi
Google, aktif olarak yararlanılan sekizinci sıfır gün güvenlik açığını gideren Chrome 107.0.5304.121/122’yi yayınladı. Önceki yedi sıfır gün düzeltmesi şunları içerir:
Hassas verilere sınırsız erişim elde etmek için bilgisayar korsanları, yüksek oranda hedeflenmiş saldırılarda sıklıkla bu kusurları kullanır.
Bu nedenle Google, kötüye kullanıma karşı korunmak için kullanıcıları Chrome web tarayıcılarını hemen güncellemeye çağırdı.
Hizmet Olarak Sızma Testi – Red Team ve Blue Team Workspace’i İndirin