Google, Chrome tarayıcısı için tarayıcı çökmelerine yol açabilecek ciddi bir açığı gideren kritik bir güvenlik güncellemesi yayınladı. Şu anda Stable kanalında bulunan güncelleme, Chrome’u Windows ve Mac için 127.0.6533.88/89 ve Linux için 127.0.6533.88 sürümüne getiriyor. Bu güncelleme önümüzdeki günlerde ve haftalarda dağıtılacak.
Son güncelleme, ikisi “jelatin tatlısı” olarak bilinen harici bir araştırmacı tarafından bildirilen üç önemli güvenlik düzeltmesi içeriyor. Bu düzeltmelerin ayrıntıları şu şekildedir:
- CVE-2024-6990: 15 Temmuz 2024’te bildirilen Dawn’da başlatılmamış kullanımla ilgili kritik bir güvenlik açığı. Bu kusur, saldırganların tarayıcıyı istismar etmesine ve çökmelere veya diğer kötü amaçlı etkinliklere yol açmasına olanak tanıyabilir.
- CVE-2024-7255: Marten Richter tarafından 13 Temmuz 2024’te bildirilen WebTransport’taki yüksek öneme sahip sınır dışı okuma sorunu. Bu güvenlik açığı, saldırganların diğer bellek konumlarından hassas bilgileri okumasına olanak tanıyabilir.
- CVE-2024-7256: Dawn’da yetersiz veri doğrulamasıyla ilgili bir diğer yüksek öneme sahip sorun 23 Temmuz 2024’te bildirildi. Bu kusur, tarayıcıya kötü amaçlı veri enjekte etmek için kullanılabilir.
“Dawn’da başlatılmamış kullanım” hatası (CVE-2024-6990), Chrome’un tarayıcı performansını ve kararlılığını önemli ölçüde etkileyebilir. Dawn, farklı platformlarda web içeriğini verimli bir şekilde işlemekten sorumlu olan Chrome’un grafik kanalının kritik bir bileşenidir.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Dawn’da başlatılmamış bellek kullanıldığında, bu öngörülemeyen davranışlara yol açabilir ve tarayıcının beklenmedik şekilde çökmesine veya normal çalışma sırasında donmasına neden olabilir.
Bu yalnızca kullanıcı deneyimini bozmakla kalmaz, aynı zamanda sistemi potansiyel olarak güvenlik açıklarına maruz bırakır. Ciddi durumlarda, saldırganların keyfi kod yürütmesine ve potansiyel olarak kullanıcının sistemini tehlikeye atmasına izin verebilir.
Google, politikasına uygun olarak, kullanıcıların çoğunluğu tarayıcılarını güncelleyene kadar bu güvenlik açıkları hakkında ayrıntılı bilgilere erişimi kısıtladı. Bu önlem, kullanıcılar kendilerini koruyabilmeden önce bu kusurların potansiyel olarak kötüye kullanılmasını önlemeyi amaçlamaktadır.
Ayrıca, diğer projelerin de bağımlı olduğu ancak henüz yamalanmamış üçüncü taraf kütüphanelerde güvenlik açıkları bulunması durumunda kısıtlamalar devam edecektir.
Google, Windows, Mac ve Linux platformlarındaki tüm Chrome kullanıcılarını, bu güvenlik açıklarına karşı korunmalarını sağlamak için tarayıcılarını derhal güncellemeleri konusunda uyarıyor.
Güncelleme işlemi genellikle otomatiktir, ancak kullanıcıların güncellemenin uygulandığını doğrulamak için tarayıcı sürümlerini doğrulamaları önerilir.
Google, bu güvenlik açıklarının belirlenmesi ve raporlanmasında katkı sağlayarak Chrome tarayıcısının güvenliğinin artırılmasına yardımcı olan tüm güvenlik araştırmacılarına şükranlarını sundu.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access