Google, yılın başından bu yana saldırılarda kullanılan ilk sıfır gün güvenlik açığını gidermek için acil bir Chrome güvenlik güncellemesi yayınladı.
Arama devi Cuma günü yayınlanan bir güvenlik danışma belgesinde “Google, CVE-2023-2033 için bir istismarın var olduğunun farkındadır” dedi.
Yeni sürüm, Kararlı Masaüstü kanalında kullanıcılara sunuluyor ve önümüzdeki günlerde veya haftalarda tüm kullanıcı tabanına ulaşacak.
Windows, Mac ve Linux sistemlerindeki CVE-2023-2033 güvenlik açığını giderdiği için Chrome kullanıcılarının 112.0.5615.121 sürümüne en kısa sürede yükseltme yapması gerekir.
Bu güncelleme, BleepingComputer Chrome menüsü > Yardım > Google Chrome Hakkında’dan yeni güncellemeleri kontrol ettiğinde hemen kullanıma sunuldu.
Web tarayıcı ayrıca yeni güncellemeleri otomatik olarak kontrol edecek ve yeniden başlatmanın ardından kullanıcı etkileşimi gerektirmeden yükleyecektir.
Saldırı detayları henüz açıklanmadı
Önem düzeyi yüksek sıfır gün güvenlik açığı (CVE-2023-2033), Chrome V8 JavaScript motorundaki yüksek önem dereceli tür karışıklığı zayıflığından kaynaklanmaktadır.
Hata, birincil amacı Google müşterilerini devlet destekli saldırılardan korumak olan Google’ın Tehdit Analizi Grubu’ndan (TAG) Clement Lecigne tarafından bildirildi.
Google TAG, gazeteciler, muhalif politikacılar ve dünya çapındaki muhalifler de dahil olmak üzere yüksek riskli kişilerin cihazlarına casus yazılım yüklemeyi amaçlayan devlet destekli tehdit aktörlerinin yüksek oranda hedefli saldırılarında yararlanılan sıfır gün hatalarını sık sık keşfeder ve bildirir.
Tür karışıklığı kusurları genellikle saldırganların arabellek sınırlarının dışındaki belleği okuyarak veya yazarak başarılı bir istismardan sonra tarayıcı çökmelerini tetiklemesine izin vermesine rağmen, tehdit aktörleri de güvenliği ihlal edilmiş cihazlarda rasgele kod yürütmek için bunlardan yararlanabilir.
Google, saldırılarda kullanılan CVE-2023-2033 sıfır gün açıklarından haberdar olduğunu söylese de, şirket bu olaylarla ilgili daha fazla bilgi paylaşmadı.
Google, “Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğu bir düzeltme ile güncellenene kadar kısıtlı tutulabilir.” Dedi.
“Hata, diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında varsa da kısıtlamaları sürdüreceğiz.”
Bu, Google Chrome kullanıcılarının tarayıcılarını yükseltmelerine ve teknik ayrıntılar açıklanana kadar saldırı girişimlerini engellemelerine olanak tanıyarak daha fazla tehdit aktörünün kendi istismarlarını geliştirmesine olanak tanır.