Google, biri halihazırda istismar edildiği bildirilen bir güvenlik açığına yönelik olmak üzere dört güvenlik düzeltmesi içeren Chrome için bir güncelleme yayınladı.
Chrome’u güncellemenin en kolay yolu, otomatik olarak güncellenmesine izin vermektir; bu, temelde aşağıda özetlenen yöntemin aynısını kullanır ancak sizin ilgilenmenizi gerektirmez. Ancak tarayıcıyı hiç kapatmazsanız veya bir şeyler ters giderse (örneğin, bir uzantının tarayıcınızı güncellemenizi engellemesi gibi) geride kalabilirsiniz.
Bu yüzden ara sıra kontrol etmekten zarar gelmez. Bu yamadaki güvenlik açığının ciddiyeti göz önüne alındığında şimdi iyi bir zaman olabilir. Tercih ettiğim yöntem Chrome’un sayfayı açmasıdır chrome://ayarlar/yardım tıklayarak da bulabilirsiniz Ayarlar > Chrome Hakkında.
Bir güncelleme mevcutsa Chrome sizi bilgilendirecek ve indirmeye başlayacaktır. Daha sonra güncellemenin tamamlanması ve bu güvenlik açıklarından korunmanız için tek yapmanız gereken tarayıcıyı yeniden başlatmaktır.
Güncelleme sonrasında sürüm 120.0.6099.224 veya üzeri olmalıdır.
Teknik detaylar
Google, bariz sebeplerden dolayı hiçbir zaman güvenlik açıkları hakkında çok fazla bilgi vermez. Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar sınırlı tutulabilir. Ancak güncelleme sayfasından birkaç şey öğrenebiliriz.
Harici araştırmacılar tarafından bulunan üç güvenlik açığının tamamı Chrome’un V8 JavaScript motorunda yatıyor.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Üç V8 güvenlik açığı şu şekilde listelenmiştir:
CVE-2024-0517: 120.0.6099.224’ten önce Google Chrome’da V8’de yapılan sınır dışı yazma, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına olanak tanıyordu.
Bir program ayrılmış bir bellek alanının sınırları dışına yazdığında, potansiyel olarak bir çökmeye veya rastgele kod yürütülmesine yol açan, sınırların dışında bir yazma meydana gelebilir. Bu durum, yazılan verinin boyutu ayrılan bellek alanının boyutundan büyük olduğunda, veri bellek alanı içinde yanlış bir konuma yazıldığında veya program, kaydedilecek verinin boyutunu veya konumunu yanlış hesapladığında meydana gelebilir. yazılı.
CVE-2024-0518: 120.0.6099.224 öncesi Google Chrome’daki V8’deki tür karışıklığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına olanak tanıyordu.
Tür karışıklığı güvenlik açıkları, bir kod parçasının, onu kullanmadan önce kendisine aktarılan nesnenin türünü doğrulamaması durumunda ortaya çıkan programlama kusurlarıdır. Tür karışıklığı, bir saldırganın işlev işaretçilerini veya verileri yanlış kod parçasına beslemesine olanak tanıyabilir. Bu durumda yığın bozulmasına yol açabilir.
Bir program, programa ayrılan belleğin dışındaki bir bellek konumunun içeriğini değiştirdiğinde yığın bozulması oluşur. Yığın, programın kullanımına sunulan bir bellek alanıdır. Program, yığın içinde kullanılması için bellek blokları talep edebilir.
CVE-2024-0519: 120.0.6099.224 öncesinde Google Chrome’da V8’de sınır dışı bellek erişimi, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına olanak tanıyordu.
Sınır dışı bellek erişimi, yazılımın amaçlanan arabelleğin sonundan veya başlangıcından önceki verilere erişebildiği anlamına gelir.
Google, CVE-2024-0519’a yönelik bir istismarın ortalıkta mevcut olduğuna dair raporların farkında olduğunu belirtiyor.
V8, Chromium Project tarafından Chromium ve Google Chrome web tarayıcıları için geliştirilen açık kaynaklı bir JavaScript ve WebAssembly motorudur; dolayısıyla Microsoft Edge gibi diğer Chromium tabanlı tarayıcıların kullanıcıları yakın gelecekte benzer güncellemeleri görmeyi bekleyebilir.
Microsoft, bir güvenlik yaması yayınlamak için aktif olarak çalıştığını söyledi ve şunu ekledi:
“Microsoft Edge’in gelişmiş güvenlik modu özelliğinin bu güvenlik açığını azalttığını vurgulamakta fayda var. Bu güvenlik özelliğini etkinleştirebilir ve Microsoft Edge’in sizi bu istismara karşı koruduğundan emin olabilirsiniz.”
Edge’de gelişmiş güvenliği yapılandırmak için aşağıdaki adımları kullanın.
- Microsoft Edge’de şu adrese gidin: Ayarlar ve daha fazlası > Ayarlar > Gizlilik, arama ve hizmetler.
- Altında Güvenlikbunu doğrulayın Web’de güvenliğinizi artırın etkin.
- Taramanız için en iyi seçeneği seçin.
Aşağıdaki geçiş ayarları mevcuttur:
- Kapatma (Varsayılan): Özellik kapalıdır
- Açık – Dengeli (Önerilen): Microsoft Edge, kullanıcılar tanıdık olmayan siteleri ziyaret ettiğinde ek güvenlik korumaları uygulayacak ancak sık ziyaret edilen siteler için bu korumaları atlayacaktır. Bu kombinasyon, saldırganlara karşı pratik düzeyde koruma sağlarken, kullanıcının web’deki olağan görevleri için kullanıcı deneyimini korur.
- Açık – Katı: Microsoft Edge, kullanıcının ziyaret ettiği tüm siteler için ek güvenlik korumaları uygulayacaktır. Kullanıcılar olağan görevlerini yerine getirirken bazı zorluklar yaşadıklarını bildirebilirler.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.