Google, bir hafta içinde yapılan saldırılarda istismar edilen üçüncü sıfır gün güvenlik açığını gidermek için yeni bir acil durum Chrome güvenlik güncellemesi yayınladı.
Arama devi Çarşamba günü yayınlanan bir güvenlik tavsiyesinde “Google, CVE-2024-4947’ye yönelik bir istismarın ortalıkta mevcut olduğunun farkındadır” dedi.
Şirket, sıfır gün kusurunu Mac/Windows için 125.0.6422.60/.61 ve 125.0.6422.60 (Linux) sürümüyle düzeltti. Yeni sürümler önümüzdeki haftalarda Kararlı Masaüstü kanalındaki tüm kullanıcılara sunulacak.
Güvenlik yamaları mevcut olduğunda Chrome otomatik olarak güncellenir. Ancak kullanıcılar, Chrome menüsü > Yardım > Google Chrome Hakkında’ya gidip güncellemenin bitmesini bekleyip ardından yüklemek için ‘Yeniden Başlat’ düğmesini tıklayarak da en son sürümü çalıştırdıklarını doğrulayabilirler.
BleepingComputer yeni güncellemeleri kontrol ettiğinde bugünkü güncelleme hemen mevcuttu.
Yüksek önem derecesine sahip sıfır gün güvenlik açığı (CVE-2024-4947), Kaspersky’den Vasily Berdnikov ve Boris Larin tarafından bildirilen Chrome V8 JavaScript motorundaki tür karışıklığı zayıflığından kaynaklanıyor.
Bu tür güvenlik açıkları genellikle tehdit aktörlerinin arabellek sınırlarının dışında bellek okuyarak veya yazarak tarayıcı çökmelerini tetiklemesine olanak tanısa da, hedeflenen cihazlarda rastgele kod yürütmek için de bu güvenlik açıklarından yararlanabilirler.
Google, CVE-2024-4947 hatasının saldırılarda kullanıldığını doğrulasa da şirket bu olaylarla ilgili henüz daha fazla ayrıntı paylaşmadı.
Google, “Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir” dedi.
“Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız.”
Aktif olarak yararlanılan yedinci sıfır gün 2024’te yamalandı
Bu en son Chrome güvenlik açığı, yılın başından bu yana Google web tarayıcısında düzeltilen yedinci sıfır gün güvenlik açığıdır ve 2024’te yamalanacak sıfır günlerin tam listesi şunları içerir:
- CVE-2024-0519: Chrome V8 JavaScript motoru içindeki yüksek önem derecesine sahip, sınır dışı bellek erişimi zayıflığı, uzaktaki saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına ve hassas bilgilere yetkisiz erişime yol açmasına olanak tanıyor.
- CVE-2024-2887: WebAssembly (Wasm) standardında yüksek önem derecesine sahip bir karışıklık hatası. Bu, hazırlanmış bir HTML sayfasından yararlanarak uzaktan kod yürütme (RCE) istismarlarına yol açabilir.
- CVE-2024-2886: Web uygulamaları tarafından ses ve video kodlamak ve kodunu çözmek için kullanılan WebCodecs API’sinde bulunan serbest kullanım sonrası güvenlik açığı. Uzaktaki saldırganlar, hazırlanmış HTML sayfaları aracılığıyla rastgele okuma ve yazma işlemleri gerçekleştirmek için bundan yararlandı ve bu da uzaktan kod yürütülmesine yol açtı.
- CVE-2024-3159: Chrome V8 JavaScript motorunda sınır dışı okumanın neden olduğu yüksek önem dereceli bir güvenlik açığı. Uzaktaki saldırganlar, tahsis edilen bellek arabelleğinin ötesindeki verilere erişmek için özel hazırlanmış HTML sayfalarını kullanarak bu kusurdan yararlandı ve bu da hassas bilgilerin çıkarılması için kullanılabilecek yığın bozulmasına neden oldu.
- CVE-2024-4671: İçeriğin tarayıcıda oluşturulmasını ve görüntülenmesini yöneten Görseller bileşenindeki yüksek önem derecesine sahip bir ücretsiz kullanım sonrası kusur.
- CVE-2024-4761: Uygulamada JS kodunun yürütülmesinden sorumlu olan Chrome’un V8 JavaScript motorunda, sınır dışı yazma sorunu.