Google, bu yıl saldırılarda istismar edildiği tespit edilen ikinci sıfır gün güvenlik açığını gidermek için Chrome web tarayıcısı için bir güvenlik güncellemesi yayınladı.
Şirketin güvenlik bülteninde “Google, CVE-2023-2136 için bir açıktan yararlanmanın vahşi ortamda var olduğunun farkındadır” yazıyor.
Yeni sürüm 112.0.5615.137’dir ve toplam sekiz güvenlik açığını düzeltir. Google, kararlı sürümün yalnızca Windows ve Mac kullanıcıları için mevcut olduğunu ve Linux sürümünün “yakında” kullanıma sunulacağını söylüyor.
Aktif olarak kullanılan güvenlik sorununu ele alan en son sürüme manuel olarak Chrome güncelleme prosedürünü başlatmak için Chrome ayarları menüsüne (sağ üst köşe) gidin ve Yardım → Google Chrome Hakkında’yı seçin.
Aksi takdirde, güncellemeler tarayıcının bir sonraki açılışında kullanıcı müdahalesi gerektirmeden yüklenir. Güncellemeyi tamamlamak için uygulamanın yeniden başlatılması gerekiyor.
İstismar detayı yok
CVE-2023-2136, Google’a ait, C++ ile yazılmış, açık kaynaklı, çok platformlu bir 2B grafik kitaplığı olan Skia’da bulunan yüksek önem dereceli bir tamsayı taşması güvenlik açığıdır.
Skia, Chrome’a grafikleri, metinleri, şekilleri, resimleri ve animasyonları işlemek için bir dizi API sağlar ve tarayıcının işleme ardışık düzeninin önemli bir bileşeni olarak kabul edilir.
Tamsayı taşması hataları, bir işlem belirli bir tamsayı türü için maksimum değeri aşan bir değerle sonuçlandığında ortaya çıkar ve genellikle beklenmeyen yazılım davranışına veya güvenlik etkilerine yol açar.
Skia bağlamında, yetkisiz sistem erişimine yol açan yanlış işlemeye, bellek bozulmasına ve rastgele kod yürütülmesine yol açabilir.
Güvenlik açığı, bu ayın başlarında Google’ın Tehdit Analiz Grubu’ndan (TAG) Clément Lecigne tarafından bildirildi.
Google, Chrome’da aktif olarak istismar edilen kusurları düzeltirken yaptığı standart uygulamayı takiben, CVE-2023-2136’nın saldırılarda nasıl kullanıldığına dair pek çok ayrıntıyı açıklamadı ve istismar yöntemi ve ilgili riskleri spekülasyona açık bıraktı.
Bu, kullanıcıların tehdit aktörlerinin kendi açıklarını geliştirmelerini sağlayabilecek teknik ayrıntıları paylaşmadan önce yazılımlarını daha güvenli bir sürüme güncellemelerini sağlamak içindir.
Güvenlik bülteninde “Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğu bir düzeltmeyle güncellenene kadar kısıtlı tutulabilir” diyor.
“Hata, diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında varsa da kısıtlamaları sürdüreceğiz” – Google
Geçtiğimiz Cuma günü Google, 2023’te keşfedilen tarayıcıda aktif olarak kullanılan ilk güvenlik açığı olan CVE-2023-2033’ü düzeltmek için başka bir acil durum Chrome güncellemesi yayınladı.
Bu açıklardan genellikle, çoğu zaman devlet destekli, hükümetlerde, medyada veya diğer kritik kuruluşlarda çalışan yüksek profilli bireyleri hedef alan gelişmiş tehdit aktörleri yararlanır. Bu nedenle, tüm Chrome kullanıcılarının mevcut güncellemeyi mümkün olan en kısa sürede uygulamaları önerilir.