Google Chrome acil durum güncellemesi, 2023’te istismar edilen 6. sıfır günü düzeltiyor


Google Chrome

Google, saldırılarda devam eden kötüye kullanıma karşı bugün yayınlanan acil güvenlik güncellemesinde bu yıl altıncı Chrome sıfır gün güvenlik açığını düzeltti.

Şirket, bugün yayınlanan yeni bir güvenlik danışma belgesinde güvenlik açığına (CVE-2023-6345 olarak izlenen) yönelik bir istismarın varlığını kabul etti.

Şirket, “Google, CVE-2023-6345’e yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır” dedi.

Güvenlik açığı artık Kararlı Masaüstü kanalında giderildi ve yamalı sürümler küresel olarak Windows kullanıcılarına (119.0.6045.199/.200) ve Mac ve Linux kullanıcılarına (119.0.6045.199) sunuluyor.

Her ne kadar danışma belgesinde güvenlik güncellemesinin tüm kullanıcı tabanına ulaşmasının günler veya haftalar sürebileceği söylense de, bugün erken saatlerde BleepingComputer güncellemeleri kontrol ettiğinde güncelleme hemen kullanıma sunuldu.

Web tarayıcısı yeni güncellemeleri otomatik olarak kontrol edecek ve manuel olarak yapmak istemeyen kullanıcılar için bir sonraki başlatmadan sonra bunları yükleyecektir.

Krom 119.0.6045.199

Muhtemelen casus yazılım saldırılarında istismar ediliyor

Bu yüksek önem derecesine sahip sıfır gün güvenlik açığı, Skia açık kaynaklı 2D grafik kitaplığındaki bir tamsayı taşması zayıflığından kaynaklanıyor ve çökmelerden rastgele kod yürütülmesine kadar çeşitli riskler yaratıyor (Skia ayrıca ChromeOS gibi diğer ürünler tarafından grafik motoru olarak da kullanılıyor). Android ve Flutter).

Hata, 24 Kasım Cuma günü Google’ın Tehdit Analiz Grubu’ndan (TAG) iki güvenlik araştırmacısı Benoît Sevens ve Clément Lecigne tarafından bildirildi.

Google TAG, gazeteciler ve muhalif politikacılar gibi yüksek profilli bireyleri hedef alan casus yazılım kampanyalarında sıklıkla devlet destekli bilgisayar korsanlığı grupları tarafından istismar edilen sıfır günleri ortaya çıkarmasıyla tanınıyor.

Şirket, çoğu kullanıcı tarayıcısını güncelleyene kadar sıfır günün ayrıntılarına erişimin sınırlı kalabileceğini, kusurun henüz yama yapılmamış üçüncü taraf yazılımların kullanımını etkilemesi durumunda sınırlamanın genişletilebileceğini söylüyor.

“Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir. Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kitaplığında mevcut olması durumunda da kısıtlamaları koruyacağız. ” dedi şirket.

Bu, tehdit aktörlerinin güvenlik açığıyla ilgili yeni yayımlanan teknik bilgilerden yararlanarak kendi CVE-2023-6345 açıklarını geliştirme olasılığını azaltmayı amaçlıyor.

Eylül ayında Google, saldırılarda kullanılan diğer iki sıfır günü (CVE-2023-5217 ve CVE-2023-4863 olarak takip edilir) düzeltti; bunların dördüncü ve beşincisi, 2023’ün başından bu yana gerçekleşti.

Güncelleme: Sıfır günü bu yıl yamalanan altıncı gün olarak doğru bir şekilde etiketlemek için hikaye ve başlık revize edildi.



Source link