Google, Çarşamba günü Chrome tarayıcısında aktif olarak istismar edilen yeni bir sıfır gün sorununa yönelik düzeltmeler yayınladı.
Şu şekilde izlendi: CVE-2023-5217yüksek önemdeki güvenlik açığı, Google ve Alliance for Open Media (AOMedia) tarafından sağlanan ücretsiz bir video codec kütüphanesi olan libvpx’teki VP8 sıkıştırma formatındaki yığın tabanlı arabellek taşması olarak tanımlandı.
Bu tür arabellek taşması kusurlarından yararlanılması, programın çökmesine veya rastgele kod yürütülmesine neden olarak kullanılabilirliğini ve bütünlüğünü etkileyebilir.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Clément Lecigne, araştırmacı arkadaşı Maddie Stone ile birlikte 25 Eylül 2023’te kusuru keşfedip rapor etme konusunda itibar kazandı. dikkat çekmek X’te (eski adıyla Twitter), ticari bir casus yazılım satıcısı tarafından yüksek riskli bireyleri hedeflemek için kötüye kullanıldığı söylendi.
Teknoloji devi tarafından “CVE-2023-5217’ye yönelik bir istismarın ortalıkta mevcut olduğunun farkında” olduğunun kabul edilmesi dışında hiçbir ek ayrıntı açıklanmadı.
En son keşif, Google Chrome’da bu yıl yamaları yayınlanan sıfır gün güvenlik açıklarının sayısını beşe çıkardı.
Bu gelişme, Google’ın libwebp resim kitaplığındaki (başlangıçta CVE-2023-4863 olarak takip edilen) kritik kusura yeni bir CVE tanımlayıcısı (CVE-2023-5129) atamasının ardından ortaya çıktı ve bu kusur, yaygın saldırı göz önüne alındığında vahşi doğada aktif olarak istismar ediliyor yüzey.
Potansiyel tehditleri azaltmak amacıyla kullanıcıların Windows, macOS ve Linux için Chrome 117.0.5938.132 sürümüne yükseltmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunuldukça uygulamaları önerilir.