Arama devi Google, Chrome web tarayıcısında aktif olarak kullanılan yeni bir sıfır gün kusurunu düzeltmek için Cuma günü bant dışı bir güvenlik güncellemesi yayınladı.
CVE-2022-4262 olarak izlenen yüksek önem dereceli kusur, V8 JavaScript motorundaki bir tür karışıklığı hatasıyla ilgilidir. Google’ın Tehdit Analizi Grubundan (TAG) Clement Lecigne, sorunu 29 Kasım 2022’de bildirdiği için kredilendirildi.
Tür karışıklığı güvenlik açıkları, tehdit aktörleri tarafından sınırların dışında bellek erişimi gerçekleştirmek veya bir çökmeye ve rastgele kod yürütülmesine yol açmak için silah haline getirilebilir.
NIST’in Ulusal Güvenlik Açığı Veritabanına göre, kusur, “uzak bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına” izin veriyor.
Google, güvenlik açığından aktif olarak yararlanıldığını kabul etti, ancak daha fazla kötüye kullanımı önlemek için ek özellikleri paylaşmayı bıraktı.
CVE-2022-4262, Google’ın yılın başından bu yana ele aldığı aktif olarak istismar edilen dördüncü tür karışıklık hatasıdır. Ayrıca bu, Chrome saldırganlarının 2022’de vahşi ortamda istismar ettiği dokuzuncu sıfır gün kusuru –
Olası tehditleri azaltmak için kullanıcıların macOS ve Linux için 108.0.5359.94 ve Windows için 108.0.5359.94/.95 sürümüne yükseltmeleri önerilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarına da düzeltmeleri kullanıma sunulduğunda uygulamaları önerilir.