Google, diğer şeylerin yanı sıra aktif olarak yararlanılan bir güvenlik açığını düzeltmek için Chrome Stabil Kanalını güncelledi
Google, Chrome’un Stabil Kanalını Windows, Mac ve Linux için 117.0.5938.132 olarak güncelledi. Bu güncelleme on güvenlik düzeltmesi içerir. Google’a göre yamalı güvenlik açıklarından birinde aktif bir istismar var; bu da siber suçluların bu güvenlik açığından haberdar olduğu ve onu kullandığı anlamına geliyor.
Chrome’u güncellemenin en kolay yolu, otomatik olarak güncellenmesine izin vermektir; bu, temelde aşağıda özetlenen yöntemin aynısını kullanır ancak sizin ilgilenmenizi gerektirmez. Ancak tarayıcıyı hiç kapatmazsanız veya bir şeyler ters giderse (örneğin, bir uzantının tarayıcınızı güncellemenizi engellemesi gibi) geride kalabilirsiniz.
Bu yüzden ara sıra kontrol etmekten zarar gelmez. Bu gruptaki güvenlik açıklarının ciddiyeti göz önüne alındığında, şimdi iyi bir zaman olabilir. Tercih ettiğim yöntem Chrome’un sayfayı açmasıdır chrome://ayarlar/yardım tıklayarak da bulabilirsiniz Ayarlar > Chrome Hakkında.
Bir güncelleme mevcutsa Chrome sizi bilgilendirecek ve indirmeye başlayacaktır. Daha sonra güncellemenin tamamlanması için tek yapmanız gereken tarayıcıyı yeniden başlatmaktır.
Güncellemeden sonra sürüm Windows için 117.0.5938.132 veya üzeri olmalıdır.
Google, bariz sebeplerden dolayı hiçbir zaman güvenlik açıkları hakkında çok fazla bilgi vermez. Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar sınırlı tutulabilir. Ancak güncelleme sayfasından birkaç şey öğrenebiliriz.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güncellemedeki sıfır gün yaması, libvpx’te vp8 kodlamasında yığın arabellek taşması olarak tanımlanan CVE-2023-5217 olarak listelenmektedir.
Arabellek taşması, bir yazılım uygulamasındaki bellek alanının adres sınırına ulaşması ve bitişik bellek bölgesine yazması durumunda ortaya çıkan bir tür yazılım güvenlik açığıdır. Yazılımdan yararlanma kodunda taşmalar için hedeflenen iki ortak alan yığın ve yığındır.
Yığın, programın kullanımına sunulan bir bellek alanıdır. Program, yığın içinde kullanılması için bellek blokları talep edebilir. Belirli büyüklükte bir blok tahsis etmek için program, yığın tahsis işlemini çağırarak açık bir istekte bulunur.
Açık kaynaklı video codec kütüphanesi libvpx, VP8 ve VP9 video kodlama formatları için referans yazılım uygulaması olarak hizmet eder. Bildirildiğine göre zayıflık kütüphanenin VP8 kodlama kısmında yatıyor. Bu istismar, bir programın bir kaynağı tahsis etmek veya başlatmak için bir yöntem kullanması, ancak uyumsuz bir yöntemin bu kaynağa erişmesi ve potansiyel olarak tarayıcının belleğine güvenli olmayan erişim sağlaması durumunda meydana gelir.
Gördüğümüz gibi, bu tür saldırılar, bir saldırı zincirinde savunmasız bir cihazı tamamen tehlikeye atmak için kullanılabilir. Chrome’un devasa kullanıcı tabanı göz önüne alındığında bu, tarayıcıyı çekici bir hedef haline getiriyor. Libvpx, WebM Projesinin bir parçası olarak diğer birçok uygulamada kullanılıyor, dolayısıyla daha fazla güncelleme gelebilir.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.