Google, geçen hafta Chrome tarayıcısına sunulan bir güvenlik güncellemesiyle düzeltilen bir güvenlik açığının aktif olarak istismara maruz kaldığını açıkladı.
Takip edildi CVE-2024-7965Söz konusu güvenlik açığının, V8 JavaScript ve WebAssembly motorunda uygunsuz bir uygulama hatası olduğu belirtildi.
NIST Ulusal Güvenlik Açığı Veritabanı’nda (NVD) yer alan hata açıklamasında, “Google Chrome’un 128.0.6613.84 öncesi V8 sürümünde uygunsuz uygulama, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasını istismar etmesine olanak tanıyordu” denildi.
İnternette TheDog takma adını kullanan bir güvenlik araştırmacısı, 30 Temmuz 2024’te açığı keşfedip bildirerek 11.000 dolarlık hata ödülü kazandı.
Kusuru istismar eden saldırıların niteliği veya onu kullanabilecek tehdit aktörlerinin kimliği hakkında ek bilgiler yayınlanmadı. Ancak teknoloji devi, CVE-2024-7965 için bir istismarın varlığından haberdar olduğunu kabul etti.
Ayrıca, “CVE-2024-7965’in vahşi kullanımında” da denildi […] Bu duyurunun ardından bildirildi.” Bununla birlikte, söz konusu açığın geçen hafta açıklanmasından önce sıfır gün olarak silahlandırılıp silahlandırılmadığı henüz belli değil.
Hacker News, söz konusu kusur hakkında daha fazla bilgi edinmek için Google ile iletişime geçti ve geri dönüş olması halinde haberi güncelleyeceğiz.
Google, 2024’ün başından bu yana Chrome’daki dokuz sıfır gün açığını giderdi; bunlardan üçü Pwn2Own 2024’te gösterildi –
Kullanıcıların olası tehditleri azaltmak için Windows ve macOS için Chrome sürüm 128.0.6613.84/.85’e, Linux içinse sürüm 128.0.6613.84’e yükseltmeleri şiddetle önerilir.