Son yedi gün içinde üçüncü kez Google, Chrome’da bir istismarın mevcut olduğu bir sıfır gün güvenlik açığını (CVE-2024-4947) düzeltti.
CVE-2024-4947 Hakkında
CVE-2024-4947, Chrome’un JavaScript ve WebAssembly motoru olan V8’deki bir tür karışıklığı güvenlik açığıdır.
Geçtiğimiz birkaç gün içinde düzeltilen iki Chrome sıfır günü anonim bir araştırmacıya atfedilirken, bu kez muhabirler arasında bilinenler var: Kaspersky tehdit araştırmacıları Vasiliy Berdnikov ve Boris Larin.
Google genellikle düzeltilen güvenlik açıklarının ayrıntılarını paylaşmaz ve hatta kendileri için mevcut istismardan yararlanılıp yararlanılmadığını söylemekten kaçınır. Yine de Berdnikov ve Larin, Kaspersky’nin Küresel Araştırma ve Analiz Ekibi’nde araştırmacı olarak çalıştıkları için, güvenlik açığının aktif olarak istismar edildiğini fark etme olasılıkları yüksek.
CVE-2024-4947, Chrome 125.0.6422.60/.61 (Windows ve Mac için) ve 125.0.6422.60 (Linux için) sürümlerinde üç ek güvenlik açığıyla birlikte düzeltildi.
“Bu güvenlik açıklarından en ciddisinin başarıyla kullanılması, oturum açmış kullanıcı bağlamında rastgele kod yürütülmesine olanak verebilir. Kullanıcıyla ilişkili ayrıcalıklara bağlı olarak saldırgan, programları yükleyebilir; verileri görüntüleme, değiştirme veya silme; veya tam kullanıcı haklarına sahip yeni hesaplar oluşturun,” yorumunu yaptı CIS.
“Hesapları sistemde daha az kullanıcı hakkına sahip olacak şekilde yapılandırılmış kullanıcılar, yönetici kullanıcı haklarıyla çalışan kullanıcılara göre daha az etkilenebilir.”
Microsoft, Brave ve Opera, bu düzeltmeyi Chromium tabanlı tarayıcılarına uygulamak için çalışıyor; mevcut en yeni Vivaldi masaüstü sürümünde ise bu düzeltme zaten mevcut.