Google yakın zamanda Chrome tarayıcısında CVE-2024-7965 olarak tanımlanan kritik bir sıfır günlük güvenlik açığını giderdi. 128.0.6613.84’ten önceki Chrome sürümlerini etkileyen bu yüksek öneme sahip kusur, vahşi doğada aktif olarak istismar edildi ve kullanıcıları tarayıcılarını gecikmeden güncellemeye çağırdı.
CVE-2024-7965, Chrome’un ayrılmaz bir parçası olan V8 JavaScript motorunu hedef alır. Sıfır günlük güvenlik açığı, saldırganların özel olarak hazırlanmış HTML sayfaları aracılığıyla yığın bozulmasını istismar etmesine izin veren sorunlu bir uygulamadan kaynaklanır. 8,8’lik bir CVSS puanı ile bu kusur, etkilenen sistemlerin gizliliğini ve bütünlüğünü tehlikeye atabilecek ciddi bir risk oluşturur.
Google Kritik Sıfır Gün Güvenlik Açığını Ele Alıyor (CVE-2024-7965)
Sorun ilk olarak 30 Temmuz 2024’te “TheDog” olarak bilinen güvenlik araştırmacısı tarafından bildirildi. O zamandan beri Google, bu güvenlik açığını gidermek için Linux için Chrome 128.0.6613.84 sürümünde ve Windows ve Mac için 128.0.6613.84/.85 sürümünde bir yama yayınladı.
Google’ın bu son güncellemesi, özellikle CVE-2024-7965’in aktif olarak istismar edilmesi nedeniyle, yamanın uygulanmasının aciliyetini vurgulamaktadır. Google, V8 JavaScript motoru türü karışıklığıyla ilgili bir diğer kritik kusur olan CVE-2024-7971 üzerindeki önceki çalışmalarından da anlaşılacağı üzere, sıfırıncı gün güvenlik açıklarını yamalama konusunda dikkatli davranmıştır.
CVE-2024-7965’i istismar etmek için bir saldırganın, yetkisiz erişime veya kötü amaçlı kod yürütmeye yol açabilecek tehlikeye atılmış bir web sayfasını ziyaret etmek gibi kullanıcı etkileşimine ihtiyacı olacaktır. Bu nedenle, hem kuruluşlara hem de bireysel kullanıcılara, olası veri ihlallerine ve diğer güvenlik tehditlerine karşı koruma sağlamak için tarayıcılarını güncellemeyi önceliklendirmeleri şiddetle tavsiye edilir.
Bu güvenlik açığı, en son Chrome güncellemesinde ele alınan daha geniş bir güvenlik sorunları kümesinin parçasıdır. Güncelleme toplamda 38 güvenlik düzeltmesi içerir ve harici araştırmacılar tarafından bildirilen birkaç yüksek önem dereceli güvenlik açığı vardır.
Google Birden Fazla Kritik Güvenlik Açığını Düzeltiyor
Google’ın kritik Chrome sıfır gün açığı CVE-2024-7965’i ele almak için hızlı hareketi, kullanıcıların yazılımlarını güncel tutmaları için hayati bir ihtiyaç olduğunu vurgulamaktadır. Olası siber tehditlere karşı korunmak için kullanıcılar otomatik güncellemeleri etkinleştirmeli veya Chrome menüsüne giderek, “Yardım”ı ve ardından “Google Chrome Hakkında”yı seçerek güncellemeleri manuel olarak kontrol etmeli ve en son sürümü çalıştırdıklarını doğrulamalıdır.
Google, 2024 boyunca tarayıcı güvenliğini artırmaya yönelik devam eden çabaları yansıtan Chrome’daki birkaç önemli sıfır günlük güvenlik açığını düzeltti. Örneğin CVE-2024-0519, keyfi kod yürütmeye yol açabilecek V8 JavaScript motorunda sınır dışı bellek erişim sorununu içeriyordu. Bu kusur, Chrome’un daha yeni bir sürümüyle giderildi.
Başka bir güvenlik açığı olan CVE-2024-2887, WebAssembly bileşeninde sınır dışı bellek erişimi ve keyfi kod yürütmeyle sonuçlanabilen bir tür karışıklığı sorunuydu. Pwn2Own 2024’te gösterildiği gibi, sonraki güncellemelerde düzeltildi. Benzer şekilde, CVE-2024-2886, WebCodecs bileşeninde bir kullanım sonrası serbest bırakma koşulu içeriyordu ve bu da keyfi kod yürütmeye izin verebilirdi. Bu sorun, Pwn2Own 2024’te vurgulanmasının ardından daha yeni güncellemelerde düzeltildi.
V8 JavaScript motorunda bir başka sınır dışı bellek erişim açığı olan CVE-2024-3159 ve Visuals bileşeninde bir kullanım sonrası serbest bırakma açığı olan CVE-2024-4671, son Chrome güncellemelerinde düzeltildi. Ek olarak, CVE-2024-4947 ve CVE-2024-5274, V8 JavaScript ve WebAssembly motorlarında tür karışıklığı güvenlik açıklarıydı ve aktif istismar acil yamalara yol açtı.
Son olarak, V8 JavaScript motorundaki bir tür karışıklık sorunu olan CVE-2024-7971 de acil ilgi gerektiriyordu. Yıl boyunca yayınlanan bu yamalar, güncel yazılımların sürdürülmesinin önemini vurguluyor.