Chrome kullanıcılarından, istismarın mevcut olduğu kritik bir güvenlik açığını düzeltmeleri isteniyor.
Google, Chrome Masaüstü için kritik bir güvenlik düzeltmesi içeren bir güncelleme yayınladı. Google’a göre yamalı güvenlik açığından aktif olarak yararlanılıyor, bu da siber suçluların güvenlik açığından haberdar olduğu ve onu kullandığı anlamına geliyor.
Windows, Mac veya Linux kullanan bir Chrome kullanıcısıysanız mümkün olan en kısa sürede güncelleme yapmalısınız.
Chrome’u güncellemenin en kolay yolu, otomatik olarak güncellenmesine izin vermektir; bu, temelde aşağıda özetlenen yöntemin aynısını kullanır ancak sizin ilgilenmenizi gerektirmez. Ancak tarayıcıyı hiç kapatmazsanız veya bir şeyler ters giderse (örneğin, bir uzantının tarayıcınızı güncellemenizi engellemesi gibi) geride kalabilirsiniz.
Bu yüzden ara sıra kontrol etmekten zarar gelmez. Bu gruptaki güvenlik açıklarının ciddiyeti göz önüne alındığında, şimdi iyi bir zaman olabilir. Tercih ettiğim yöntem Chrome’un sayfayı açmasıdır chrome://ayarlar/yardım tıklayarak da bulabilirsiniz Ayarlar > Chrome Hakkında.
Bir güncelleme mevcutsa Chrome sizi bilgilendirecek ve indirmeye başlayacaktır. Daha sonra güncellemenin tamamlanması için tek yapmanız gereken tarayıcıyı yeniden başlatmaktır.
Güncellemeden sonra sürüm Mac ve Linux için 116.0.5845.187, Windows için 116.0.5845.187/.188 veya üzeri olmalıdır.
Güvenlik açığı
Google, bariz sebeplerden dolayı hiçbir zaman güvenlik açıkları hakkında çok fazla bilgi vermez. Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar sınırlı tutulabilir. Ancak güncelleme sayfasından birkaç şey öğrenebiliriz.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güncellemedeki sıfır gün yaması şu şekilde listelenmiştir:
CVE-2023-4863: WebP’de bir yığın arabellek taşması; ayrıca WebP görüntü formatında bulunan ve rastgele kod yürütülmesine veya çökmeye yol açabilecek bir güvenlik açığı olarak da tanımlanır.
Arabellek taşması, bir yazılım uygulamasındaki bir bellek alanı adres sınırına ulaştığında ve bitişik bir bellek bölgesine yazdığında ortaya çıkan bir tür yazılım güvenlik açığıdır. Yazılımdan yararlanma kodunda taşmalar için hedeflenen iki ortak alan yığın ve yığındır.
Yığın, program tarafından kullanılabilen bir bellek alanıdır. Program, yığın içinde kullanılması için bellek blokları talep edebilir. Belirli büyüklükte bir blok tahsis etmek için program, yığın tahsis işlemini çağırarak açık bir istekte bulunur.
Güvenlik açığının bildirilmesi için 06.09.2023 tarihinde Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve Toronto Üniversitesi Munk Okulu’ndaki The Citizen Lab’e teşekkür edildi. Bunun, NSO grubu tarafından Pegasus casus yazılımını düşürmek için kullanılan iki Apple güvenlik açığı hakkında CitizenLab tarafından hazırlanan bir raporla örtüşmesi gerçeği çok fazla tesadüf gibi görünüyor.
Hem Apple CVE-2023-41064 hem de Chrome CVE-2023-4863’ün görüntü işlemeye dayalı olduğu gerçeğini de eklediğimizde, bu iki güvenlik açığının birbiriyle ilişkili olma ihtimalinin çok yüksek olduğunu rahatlıkla söyleyebiliriz.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.