Google, Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışması sırasında istismar edilen başka bir sıfır gün istismarının yanı sıra Salı günü Chrome tarayıcısındaki üç güvenlik açığını düzeltti.
Google yakın zamanda Pwn2Own bilgisayar korsanlığı yarışması sırasında istismar edilen iki sıfır gün güvenlik açığını daha düzeltti.
Palo Alto Networks'ten Edouard Bochin (@le_douds) ve Tao Yan (@Ga1ois), 22 Mart 2024'te Pwn2Own sırasında CVE-2024-3159 olarak tanımlanan güvenlik açığını bildirdi.
Her ikisi de Microsoft Edge ve Google Chrome'a yönelik saldırılarını başarıyla sergileyerek 42.500 ABD Doları ve 9 Master of Pwn puanı aldı.
Google, Google Chrome Stable kanalındaki güvenlik açıklarını Windows ve Mac için 123.0.6312.105/.106/.107 ve Linux için 123.0.6312.105 olarak düzeltti. Güncelleme önümüzdeki gün ve haftalarda kullanıma sunulacak.
Ele Alınan Sıfır Gün Kusurunun Özellikleri – CVE-2024-3159
CVE-2024-3159 güvenlik açığı, V8 JavaScript motorunda sınırların dışında bellek erişimidir.
Uzaktaki bir saldırgan, kurbanı özel olarak oluşturulmuş bir HTML sayfasını ziyaret etmesi için kandırarak bu güvenlik açığından yararlanabilir ve bellek arabelleğinin ötesindeki verilere erişim elde ederek yığın bozulmasına neden olabilir.
Güvenlik açığından yararlanılması bir çökmeye veya hassas verilerin açığa çıkmasına neden olabilir.
Pwn2Own'un ikinci gününde, Palo Alto Networks'ten güvenlik araştırmacıları Edouard Bochin ve Tao Yan sıfır günü gösterdi.
Ele Alınan Diğer Güvenlik Kusurları
Google ayrıca CVE-2024-3156 olarak tanımlanan V8'deki uygunsuz uygulamayı da düzeltti.
Zhenghang Xiao'nun (@Kipreyyy) konuyu açıklamasının ardından Google, 7.000 ABD doları ödül verdi.
CVE-2024-3158, Yer İşaretlerinde ücretsiz olarak kullan sorunu da Google tarafından düzeltildi. undoingfish sorunu bildirdikten sonra Google, ödül olarak 3000 ABD doları teklif etti.
Nasıl Güncellenir?
Google Chrome kullanıcıları, masaüstü cihazlarda en son sürümü görüntülemek için Menü > Yardım > Google Chrome Hakkında'ya gidebilir veya adres çubuğuna chrome://settings/help yazabilir.
Tarayıcı, web sitesine erişildiği anda güncellemeleri arar; bulduğu her şeyi indirir ve yükler. En son sürümü algılamalı ve yüklemelidir.
Güncellemeyi tamamlamak için tarayıcının yeniden başlatılması gerekir.
“Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir. Google, hatanın diğer projelerin de benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız” dedi.
Google, Mart ayının sonunda, Pwn2Own 2024 sırasında açıklanan iki sıfır gün güvenlik açığı da dahil olmak üzere birden fazla Chrome tarayıcı güvenlik açığını yamaladı. Bu güvenlik açıkları, CVE-2024-2886 ve CVE-2024-2887 olarak tanımlandı.
Mozilla ayrıca, yakın zamanda Firefox web tarayıcısındaki Pwn2Own hackleme yarışmasında Manfred Paul (@_manfp) tarafından istismar edilen, CVE-2024-29944 ve CVE-2024-29943 olarak takip edilen iki sıfır gün güvenlik açığını da ele alıyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide