Google, 2024 yılında saldırganlar veya güvenlik araştırmacıları tarafından düzenlenen bilgisayar korsanlığı yarışmaları sırasında ortaya çıkarılan onuncu sıfır günlük açığını düzelttiğini bugün duyurdu.
CVE-2024-7965 olarak takip edilen ve yalnızca TheDog olarak bilinen bir güvenlik araştırmacısı tarafından bildirilen, artık yamalanmış olan yüksek öneme sahip güvenlik açığı, Google Chrome’un V8 JavaScript motorunda, uzaktaki saldırganların hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasını istismar etmesine olanak tanıyan uygunsuz bir uygulama olarak tanımlanıyor.
Bu duyuru, şirketin geçen hafta V8 tipi bir karışıklık zayıflığından kaynaklanan başka bir yüksek öneme sahip sıfırıncı gün açığını (CVE-2024-7971) düzelttiğini açıkladığı blog yazısının güncellemesinde yapıldı.
Şirket bugün yaptığı güncellemede, “Bu sürümden sonra bildirilen CVE-2024-7965’in vahşi doğada istismarını yansıtmak için 26 Ağustos 2024’te güncellendi” dedi. “Google, CVE-2024-7971 ve CVE-2024-7965 için istismarların vahşi doğada var olduğunun farkındadır.”
Google, hem Windows/macOS sistemleri için Chrome sürüm 128.0.6613.84/.85’teki hem de Çarşamba gününden bu yana Kararlı Masaüstü kanalındaki tüm kullanıcılara sunulan Linux kullanıcıları için 128.0.6613.84 sürümündeki sıfır gün hatalarını düzeltti.
Chrome, güvenlik yamaları mevcut olduğunda otomatik olarak güncelleme yapsa da, bu süreci hızlandırabilir ve Chrome menüsü > Yardım > Google Chrome Hakkında’ya gidip güncellemenin bitmesini bekledikten sonra yüklemek için ‘Yeniden Başlat’ düğmesine tıklayarak güncellemeleri manuel olarak uygulayabilirsiniz.
Google, CVE-2024-7971 ve CVE-2024-7965 açıklarının gerçek hayatta kullanıldığını doğrulasa da bu saldırılarla ilgili henüz daha fazla bilgi paylaşmadı.
Google, “Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlanabilir” diyor.
“Ayrıca, hatanın diğer projelerin de benzer şekilde bağımlı olduğu ancak henüz düzeltmediği üçüncü taraf bir kütüphanede bulunması durumunda kısıtlamaları sürdüreceğiz.”
Google, yıl başından bu yana saldırılarda veya Pwn2Own hackleme yarışmasında istismar edildiği belirtilen sekiz sıfır günü daha düzeltti:
- CVE-2024-0519: Chrome V8 JavaScript motorunda bulunan yüksek düzeyde sınır dışı bellek erişim zayıflığı, uzaktaki saldırganların özel olarak hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasını istismar etmesine ve hassas bilgilere yetkisiz erişime yol açmasına olanak tanıyor.
- CVE-2024-2887: WebAssembly (Wasm) standardında yüksek öneme sahip bir tür karışıklığı hatası. Hazırlanmış bir HTML sayfasını kullanan uzaktan kod yürütme (RCE) istismarlarına yol açabilir.
- CVE-2024-2886: Web uygulamaları tarafından ses ve videoyu kodlamak ve kodunu çözmek için kullanılan WebCodecs API’sindeki bir kullanım sonrası serbest bırakma güvenlik açığı. Uzaktan saldırganlar, hazırlanmış HTML sayfaları aracılığıyla keyfi okumalar ve yazmalar gerçekleştirmek için bunu istismar etti ve bu da uzaktan kod yürütülmesine yol açtı.
- CVE-2024-3159: Chrome V8 JavaScript motorunda sınır dışı okuma nedeniyle oluşan yüksek öneme sahip bir güvenlik açığı. Uzak saldırganlar, tahsis edilen bellek arabelleğinin ötesindeki verilere erişmek için özel olarak hazırlanmış HTML sayfaları kullanarak bu açığı istismar etti ve bu da hassas bilgileri çıkarmak için kullanılabilecek yığın bozulmasına neden oldu.
- CVE-2024-4671: Tarayıcıda içerik oluşturma ve görüntülemeyi yöneten Görseller bileşeninde yüksek öneme sahip bir kullanım sonrası serbest bırakma hatası.
- CVE-2024-4761:Uygulamada JS kodunu çalıştırmaktan sorumlu olan Chrome’un V8 JavaScript motorunda sınır dışı yazma sorunu.
- CVE-2024-4947: Chrome V8 JavaScript motorunda hedef cihazda keyfi kod yürütülmesine olanak tanıyan tür karışıklığı zayıflığı.
- CVE-2024-5274: Çökmelere, veri bozulmasına veya keyfi kod yürütülmesine yol açabilen Chrome’un V8 JavaScript motorunda bir tür karışıklığı