Yönetişim ve Risk Yönetimi , Yama Yönetimi
Sıkı Dudaklı Silikon Vadisi Devi Alışılmadık Şekilde Risk Konusunda Doğrudan
David Perera (@daveperera) •
6 Haziran 2023
Google, Chrome’da sıfırıncı gün güvenlik açığını yamalayarak tüketicileri güvenlik açığının aktif kullanım altında olduğu konusunda uyardı.
Ayrıca bakınız: Risk Yönetimi Stratejisi Olarak Yama Yönetimi
Silikon Vadisi devi, Pazartesi günü bir Chrome danışma belgesinde, V8 JavaScript oluşturma motorunda bir tür karışıklık hatası olduğunu söylemek dışında, CVE-2023-3079 olarak izlenen güvenlik açığı hakkında küçük bir açıklama yaptı.
Microsoft, sıfır günün farkında olduğunu ve bir yama geliştirdiğini söyledi. Şirketin Edge tarayıcısı, Google’ın Chromium Projesi’nin bir parçası olarak kullanıma sunduğu Chrome ile aynı temel kodu temel alır.
Chrome, tüm tarayıcıların yaklaşık üçte ikisinin pazar payına sahip, dünyanın baskın web tarayıcısıdır. Edge’in toplam pazar payı yaklaşık %4’tür.
Sophos’tan Paul Ducklin, Google’ın risk konusunda alışılmadık derecede doğrudan olduğunu yazdı.
“Daha önce Google’da sık sık gördüğümüz gibi, şirketin bir istismara ilişkin ‘raporların farkında’ olduğunu söyleyen ‘iki dereceli ayrım’ lafı yok. Bu da daha açık bir şekilde ‘biz konuşurken dolandırıcıların bunu kötüye kullandığını biliyoruz’ anlamına geliyor” dedi.
Yine de Google, Chrome kullanıcılarının çoğu yamayı uygulayana kadar güvenlik açığının doğasıyla ilgili ayrıntıları saklama hakkını saklı tuttuğunu söyledi. “Hata, diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında varsa da kısıtlamaları sürdüreceğiz.”
V8 dili olan C++ da dahil olmak üzere programlama dillerinde, bir uygulama beklenmeyen verileri belleğe geçirdiğinde tip karışıklığı oluşur. Mitre, tür karışıklığının genellikle union C dili programcılarının aynı bellek konumuna farklı değişken türleri atamasına izin veren bildirim. C++ gibi bellek güvenliği olmayan dillerde kullanımı, “sınır dışı bellek erişimine yol açabilir.”
Bu yama, Google’ın aylar sonra ikinci kez bir V8 sıfır gün yaması yaptığına işaret ediyor. Bunu Nisan ayında, CVE-2023-2033 olarak izlenen bir güvenlik açığında yaptı. Ayrıca, Google’ın Nisan ayında CVE-2023-2136 olarak izlenen bir güvenlik açığını Google’a ait, yine C++ ile yazılmış, Google’a ait açık kaynaklı bir 2D grafik kitaplığı olan Skia’da yamalamasından bu yana, aynı zaman dilimi içindeki üçüncü sıfır gün yaması.