Google, bu yılın başından bu yana yaygın olarak kullanılan beşinci sıfır gün güvenlik açığını düzeltmek amacıyla Chrome tarayıcısı için bir güvenlik güncellemesi yayınladı.
CVE-2024-4671 olarak takip edilen yüksek önemdeki sorun, içeriğin tarayıcıda oluşturulmasını ve görüntülenmesini yöneten Görseller bileşenindeki “serbest bırakılan kullanıcı” güvenlik açığıdır.
CVE-2024-4671, kimliği bilinmeyen bir araştırmacı tarafından keşfedilip Google’a bildirildi; şirket, bunun muhtemelen aktif olarak istismar edildiğini açıkladı.
Ek bilgi vermeden danışma belgesinde “Google, CVE-2024-4671’e yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır” ifadesi yer alıyor.
Kullanım sonrası serbest kusurlar, bir programın, işaret ettiği bellek serbest bırakıldıktan sonra, o bölgedeki meşru işlemlerinin tamamlanmasının ardından bir işaretçiyi kullanmaya devam etmesi durumunda ortaya çıkan güvenlik kusurlarıdır.
Boşaltılan bellek artık farklı veriler içerebileceğinden veya başka yazılım ya da bileşenler tarafından kullanılabildiğinden, bu belleğe erişim veri sızıntısına, kod yürütülmesine veya çökmeye neden olabilir.
Google, önümüzdeki günlerde/haftalarda kullanıma sunulacak güncellemelerle birlikte Mac/Windows için 124.0.6367.201/.202 ve Linux için 124.0.6367.201 sürümünün yayımlanmasıyla sorunu giderdi.
‘Genişletilmiş Kararlı’ kanalının kullanıcıları için düzeltmeler, Mac ve Windows için 124.0.6367.201 sürümünde sunulacak ve daha sonra kullanıma sunulacaktır.
Chrome, bir güvenlik güncellemesi mevcut olduğunda otomatik olarak güncellenir, ancak kullanıcılar Ayarlar > Chrome Hakkında bölümüne gidip güncellemenin bitmesini bekleyip ardından uygulamayı uygulamak için ‘Yeniden Başlat’ düğmesini tıklayarak en son sürümü çalıştırdıklarını doğrulayabilirler.
Google Chrome’da ele alınan bu son kusur, bu yılki beşinci kusurdur; diğer üç kusur, Mart 2024’te Vancouver’daki Pwn2Own bilgisayar korsanlığı yarışması sırasında keşfedilmiştir.
2024’ün başından bu yana düzeltilen Chrome sıfır gün güvenlik açıklarının tam listesi aşağıdakileri de içerir:
- CVE-2024-0519: Chrome V8 JavaScript motoru içindeki yüksek önem derecesine sahip, sınır dışı bellek erişimi zayıflığı, uzaktaki saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına ve hassas bilgilere yetkisiz erişime yol açmasına olanak tanıyor.
- CVE-2024-2887: WebAssembly (Wasm) standardında yüksek önem derecesine sahip bir karışıklık hatası. Bu, hazırlanmış bir HTML sayfasından yararlanarak uzaktan kod yürütme (RCE) istismarlarına yol açabilir.
- CVE-2024-2886: Web uygulamaları tarafından ses ve video kodlamak ve kodunu çözmek için kullanılan WebCodecs API’sinde bulunan serbest kullanım sonrası güvenlik açığı. Uzaktaki saldırganlar, hazırlanmış HTML sayfaları aracılığıyla rastgele okuma ve yazma işlemleri gerçekleştirmek için bundan yararlandı ve bu da uzaktan kod yürütülmesine yol açtı.
- CVE-2024-3159: Chrome V8 JavaScript motorunda sınır dışı okumanın neden olduğu yüksek önem dereceli bir güvenlik açığı. Uzaktaki saldırganlar, tahsis edilen bellek arabelleğinin ötesindeki verilere erişmek için özel hazırlanmış HTML sayfalarını kullanarak bu kusurdan yararlandı ve bu da hassas bilgilerin çıkarılması için kullanılabilecek yığın bozulmasına neden oldu.