Google, saldırılarda kötüye kullanıldığı etiketlenen yüksek önem derecesine sahip sıfır gün güvenlik açığını gidermek amacıyla Chrome tarayıcısı için acil güvenlik güncellemeleri yayınladı.
Bu düzeltme, Google’ın Chrome’daki bir başka sıfır gün güvenlik açığını (CVE-2024-4671) gidermesinden yalnızca üç gün sonra geldi. Bu güvenlik açığı, Görseller bileşenindeki serbest kullanım sonrası kullanım zayıflığından kaynaklanmaktadır.
En son hata CVE-2024-4761 olarak takip ediliyor. Bu, uygulamada JS kodunun yürütülmesinden sorumlu olan Chrome’un V8 JavaScript motorunu etkileyen bir sınır dışı yazma sorunudur.
Bir programın belirtilen dizi veya arabellek dışında veri yazmasına izin verildiğinde, sınır dışı yazma sorunları ortaya çıkar ve potansiyel olarak yetkisiz veri erişimine, rastgele kod yürütülmesine veya program çökmelerine yol açabilir.
Uyarı metninde “Google, CVE-2024-4761’e yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır” ifadesi yer alıyor.
Şirket, güvenlik açığını Mac/Windows için 124.0.6367.207/.208 ve Linux için 124.0.6367.207 sürümüyle düzeltti. Güncellemeler önümüzdeki günlerde/haftalarda tüm kullanıcılara sunulacak.
‘Genişletilmiş Kararlı’ kanalının kullanıcıları için düzeltmeler Mac ve Windows için 124.0.6367.207 sürümünde sunulacaktır.
Chrome, bir güvenlik güncellemesi mevcut olduğunda otomatik olarak güncellenir, ancak kullanıcılar Ayarlar > Chrome Hakkında bölümüne gidip güncellemenin bitmesini bekleyip ardından uygulamayı uygulamak için ‘Yeniden Başlat’ düğmesini tıklayarak en son sürümü çalıştırdıklarını doğrulayabilirler.
Saldırılarda istismar edilen altıncı sıfır gün
Bu son Google Chrome güvenlik açığı, bu yılın başından bu yana popüler web tarayıcısında keşfedilen ve düzeltilen altıncı sıfır gün hatasıdır.
Şirket, anonim bir araştırmacının kusuru 9 Mayıs 2024’te bildirdiğini ancak şu anda daha fazla ayrıntının açıklanmadığını belirtiyor.
“Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir. Google, hatanın diğer projelerin de benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız” dedi.
2024’te şu ana kadar düzeltilen Chrome sıfır gün kusurları arasında şunlar yer alıyor:
- CVE-2024-0519: Chrome V8 JavaScript motoru içindeki yüksek önem derecesine sahip, sınır dışı bellek erişimi zayıflığı, uzaktaki saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına ve hassas bilgilere yetkisiz erişime yol açmasına olanak tanıyor.
- CVE-2024-2887: WebAssembly (Wasm) standardında yüksek önem derecesine sahip bir karışıklık hatası. Bu, hazırlanmış bir HTML sayfasından yararlanarak uzaktan kod yürütme (RCE) istismarlarına yol açabilir.
- CVE-2024-2886: Web uygulamaları tarafından ses ve video kodlamak ve kodunu çözmek için kullanılan WebCodecs API’sinde bulunan serbest kullanım sonrası güvenlik açığı. Uzaktaki saldırganlar, hazırlanmış HTML sayfaları aracılığıyla rastgele okuma ve yazma işlemleri gerçekleştirmek için bundan yararlandı ve bu da uzaktan kod yürütülmesine yol açtı.
- CVE-2024-3159: Chrome V8 JavaScript motorunda sınır dışı okumanın neden olduğu yüksek önem dereceli bir güvenlik açığı. Uzaktaki saldırganlar, tahsis edilen bellek arabelleğinin ötesindeki verilere erişmek için özel hazırlanmış HTML sayfalarını kullanarak bu kusurdan yararlandı ve bu da hassas bilgilerin çıkarılması için kullanılabilecek yığın bozulmasına neden oldu.
- CVE-2024-4671: İçeriğin tarayıcıda oluşturulmasını ve görüntülenmesini yöneten Görseller bileşenindeki yüksek önem derecesine sahip bir ücretsiz kullanım sonrası kusur.