Google, Chrome tarayıcısında aktif olarak kullanıldığı doğrulanan sekizinci sıfır gün güvenlik açığını gidermek için yeni bir acil durum güvenlik güncellemesi yayınladı.
Güvenlik sorunu Google’dan Clément Lecigne tarafından şirket içinde keşfedildi ve CVE-2024-5274 olarak takip ediliyor. Bu, Chrome’un JS kodunu yürütmekten sorumlu JavaScript motoru V8’deki yüksek önem derecesine sahip bir ‘tür karışıklığıdır’.
Şirket, güvenlik danışma belgesinde “Google, CVE-2024-5274’e yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır” dedi.
Bir program belirli bir veri türünü tutmak için bir bellek parçası ayırdığında ancak verileri yanlışlıkla farklı bir tür olarak yorumladığında “tür karışıklığı” güvenlik açığı ortaya çıkar. Bu, çökmelere, veri bozulmasına ve rastgele kod yürütülmesine yol açabilir.
Google, kullanıcıları diğer tehdit aktörlerinin olası istismar girişimlerinden korumak ve sorunu çözen bir tarayıcı sürümü yüklemelerine olanak sağlamak için kusurla ilgili teknik ayrıntıları paylaşmadı.
“Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir. Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kitaplığında mevcut olması durumunda da kısıtlamaları koruyacağız. ” dedi teknoloji devi.
Chrome Stable’da düzeltme mevcut
Google’ın düzeltmesi, Windows ve Mac için Chrome’un Stabil kanalına 125.0.6422.112/.113 sürümüyle yayınlanırken, Linux kullanıcıları güncellemeyi önümüzdeki haftalarda 125.0.6422.112 sürümünden alacak.
Chrome, önemli güvenlik güncellemelerini otomatik olarak yükler ve tarayıcı yeniden başlatıldığında etkili olur. Kullanıcılar, Ayarlar menüsünün Hakkında bölümünde en son sürümü kullandıklarını doğrulayabilirler.
Bir güncelleme mevcutsa, kullanıcılar güncelleme işleminin bitmesini beklemeli ve ardından güncellemeyi uygulamak için ‘Yeniden Başlat’ düğmesine tıklamalıdır.
Bu ay aktif olarak istismar edilen üçüncü sıfır gün
CVE-2024-5274, Google’ın yılın başından bu yana Chrome’da düzelttiği aktif olarak yararlanılan sekizinci ve bu ay üçüncü güvenlik açığıdır.
Aynı zamanda, Google’ın Chrome güvenlik güncellemelerinin dağıtımını haftada iki kezden haftada bire düşürme yönündeki önceki kararı, tehdit aktörlerine sıfır gün kusurlarından yararlanmaları için ekstra zaman veren yama boşluğu sorununu ele alıyor.
Chrome’da aktif olarak yararlanılan ve bu yılın başlarında yamalanan sıfır gün kusurları şunlardır:
- CVE-2024-0519: Chrome V8 JavaScript motoru içindeki yüksek önem derecesine sahip, sınır dışı bellek erişimi zayıflığı, uzaktaki saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına ve hassas bilgilere yetkisiz erişime yol açmasına olanak tanıyor.
- CVE-2024-2887: WebAssembly (Wasm) standardında yüksek önem derecesine sahip bir karışıklık hatası. Bu, hazırlanmış bir HTML sayfasından yararlanarak uzaktan kod yürütme (RCE) istismarlarına yol açabilir.
- CVE-2024-2886: Web uygulamaları tarafından ses ve video kodlamak ve kodunu çözmek için kullanılan WebCodecs API’sinde bulunan serbest kullanım sonrası güvenlik açığı. Uzaktaki saldırganlar, hazırlanmış HTML sayfaları aracılığıyla rastgele okuma ve yazma işlemleri gerçekleştirmek için bundan yararlandı ve bu da uzaktan kod yürütülmesine yol açtı.
- CVE-2024-3159: Chrome V8 JavaScript motorunda sınır dışı okumanın neden olduğu yüksek önem dereceli bir güvenlik açığı. Uzaktaki saldırganlar, tahsis edilen bellek arabelleğinin ötesindeki verilere erişmek için özel hazırlanmış HTML sayfalarını kullanarak bu kusurdan yararlandı ve bu da hassas bilgilerin çıkarılması için kullanılabilecek yığın bozulmasına neden oldu.
- CVE-2024-4671: İçeriğin tarayıcıda oluşturulmasını ve görüntülenmesini sağlayan, Görseller bileşenindeki yüksek önem derecesine sahip bir ücretsiz kullanım sonrası kusur.
- CVE-2024-4761: Uygulamada JS kodunun yürütülmesinden sorumlu olan Chrome’un V8 JavaScript motorunda, sınır dışı yazma sorunu.
- CVE-2024-4947: Chrome V8 JavaScript motorunda, hedef cihazda rastgele kod yürütülmesine olanak tanıyan yüksek önem derecesine sahip türde karışıklık zayıflığı.