Google, saldırganlar tarafından aktif olarak istismar edilen yüksek önemdeki bir güvenlik açığını düzeltmek amacıyla Chrome web tarayıcısı için acil bir güvenlik güncellemesi yayınladı.
CVE-2024-4947 olarak izlenen sıfır gün kusuru, V8 JavaScript motorunda uzaktan kod yürütme saldırılarına izin verebilecek bir tür karışıklık hatasıdır.
V8 JavaScript motorundaki tür karışıklığı hatası, motorun bir nesnenin türünü yanlış yorumladığı, mantıksal hatalara yol açan ve saldırganların rastgele kod yürütmesine olanak tanıyan bir güvenlik açığını ifade eder.
Bu tür bir güvenlik açığı özellikle tehlikelidir çünkü hatayı tetikleyen belirli bir HTML sayfası oluşturularak yığın bozulmasına neden olmak için kullanılabilir, böylece tarayıcının ve temel sistemin güvenliği tehlikeye girer.
Linux için Chrome 125.0.6422.60 ve Windows ve Mac için 125.0.6422.60/.61, popüler web tarayıcısına çeşitli düzeltmeler ve iyileştirmeler getiriyor. Resmi sürüm günlüğü kapsamlı bir değişiklik listesi sağlar.
Kaspersky’den güvenlik araştırmacıları Vasily Berdnikov ve Boris Larin, 13 Mayıs’ta güvenlik açığını keşfettiler ve bunu Google’a bildirdiler.
“Google, CVE-2024-4947’ye yönelik bir istismarın yaygın olarak mevcut olduğunun farkında ve kullanıcıları tarayıcılarını mümkün olan en kısa sürede güncellemeye çağırıyor.”
Bu, bu yıl Chrome kullanıcılarını hedef alan 7. sıfır gün istismarı ve hafta içindeki 2. sıfır gün saldırısına işaret ediyor ve karmaşık siber saldırıların oluşturduğu ısrarlı tehdidin altını çiziyor.
Free On-Demand Webinar to Secure the Top 3 SME Attack Vectors: Watch for Free
Diğer Güvenlik Düzeltmeleri
Sıfır gün yamasına ek olarak Chrome 125 güncellemesi 8 güvenlik düzeltmesi daha içeriyor:
- CVE-2024-4948 (Yüksek) – Şafakta ücretsiz kullanımdan sonra kullanın, wgslfuzz tarafından bildirildi
- CVE-2024-4949 (Orta) – Ganjiang Zhou tarafından bildirilen V8’de ücretsiz kullanımdan sonra kullanın
- CVE-2024-4950 (Düşük) – İndirmelerde uygunsuz uygulama, Shaheen Fazim tarafından bildirildi
- Dahili denetimlerden ve bulanıklaştırmadan kaynaklanan diğer çeşitli düzeltmeler
Çoğu kullanıcı Chrome’u güncelleyene kadar Google, hata ayrıntılarına erişimi kısıtladı. Şirket, bu sürüme katkılarından dolayı tüm dış araştırmacıların yanı sıra iç güvenlik ekiplerine de teşekkür etti.
Tavsiye edilen güncelleme
Chrome çoğu kullanıcı için otomatik olarak güncelleme yapacak olsa da Google, Windows, Mac ve Linux kullanan tüm Chrome kullanıcılarının, güncellemeleri manuel olarak kontrol ederek 125.0.6422.60 veya üzeri bir sürümü çalıştırdıklarından emin olmalarını önerir.
Yeni sürüm, sıfır gün güvenlik açığından yararlanan potansiyel saldırılara karşı koruma sağlamak için kritik güvenlik yamaları içeriyor.
Chrome ekibi, geliştirme döngüsü sırasında kendileriyle işbirliği yaparak güvenlik hatalarının kararlı kanala ulaşmasını engellemeye yardımcı olan tüm güvenlik araştırmacılarına şükranlarını sundu.
Get 6 Months of ANY.RUN Malware Sandbox Paid Plans for Free before May 31st - Register Here