Google, saldırılarda devam eden kötüye kullanıma karşı bugün yayınlanan acil güvenlik güncellemesinde bu yıl beşinci Chrome sıfır gün güvenlik açığını düzeltti.
Şirket, bugün yayınlanan yeni bir güvenlik danışma belgesinde güvenlik açığına (CVE-2023-6345 olarak izlenen) yönelik bir istismarın varlığını kabul etti.
Şirket, “Google, CVE-2023-6345’e yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır” dedi.
Güvenlik açığı artık Kararlı Masaüstü kanalında giderildi ve yamalı sürümler küresel olarak Windows kullanıcılarına (119.0.6045.199/.200) ve Mac ve Linux kullanıcılarına (119.0.6045.199) sunuluyor.
Her ne kadar danışma belgesinde güvenlik güncellemesinin tüm kullanıcı tabanına ulaşmasının günler veya haftalar sürebileceği söylense de, bugün erken saatlerde BleepingComputer güncellemeleri kontrol ettiğinde güncelleme hemen kullanıma sunuldu.
Web tarayıcısı yeni güncellemeleri otomatik olarak kontrol edecek ve manuel olarak yapmak istemeyen kullanıcılar için bir sonraki başlatmadan sonra bunları yükleyecektir.
Muhtemelen casus yazılım saldırılarında istismar ediliyor
Bu yüksek önem derecesine sahip sıfır gün güvenlik açığı, Skia açık kaynaklı 2D grafik kitaplığındaki bir tamsayı taşması zayıflığından kaynaklanıyor ve çökmelerden rastgele kod yürütülmesine kadar çeşitli riskler yaratıyor (Skia ayrıca ChromeOS gibi diğer ürünler tarafından grafik motoru olarak da kullanılıyor). Android ve Flutter).
Hata, 24 Kasım Cuma günü Google Tehdit Analiz Grubu’nda (TAG) güvenlik araştırmacısı Clément Lecigne tarafından bildirildi.
Google TAG, gazeteciler ve muhalif politikacılar gibi yüksek profilli bireyleri hedef alan casus yazılım kampanyalarında sıklıkla devlet destekli bilgisayar korsanlığı grupları tarafından istismar edilen sıfır günleri ortaya çıkarmasıyla tanınıyor.
Google, çoğu kullanıcı tarayıcısını güncelleyene kadar sıfır günün ayrıntılarına erişimin sınırlı kalabileceğini, kusurun henüz yama yapılmamış üçüncü taraf yazılımları da etkilemesi durumunda sınırlamanın genişletilebileceğini söylüyor.
“Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir. Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kitaplığında mevcut olması durumunda da kısıtlamaları koruyacağız. ” dedi şirket.
Bu, tehdit aktörlerinin güvenlik açığıyla ilgili yeni yayımlanan teknik bilgilerden yararlanarak kendi CVE-2023-6345 açıklarını geliştirme olasılığını azaltmayı amaçlıyor.
Eylül ayında Google, saldırılarda kullanılan diğer iki sıfır günü (CVE-2023-5217 ve CVE-2023-4863 olarak takip edilir) düzeltti; bunların dördüncü ve beşincisi, 2023’ün başından bu yana gerçekleşti.