Google, yılın başından bu yana saldırılarda kullanılan beşinci Chrome sıfır gün güvenlik açığını, bugün yayınlanan acil güvenlik güncellemeleriyle düzeltti.
Şirket Çarşamba günü yayınlanan bir güvenlik tavsiyesinde “Google, CVE-2023-5217’ye yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır” dedi.
Güvenlik açığı Google Chrome 117.0.5938.132’de giderildi ve Kararlı Masaüstü kanalında dünya çapındaki Windows, Mac ve Linux kullanıcılarına sunuldu.
Uyarı, yamalı sürümün tüm kullanıcı tabanına ulaşmasının muhtemelen günler veya haftalar alacağını söylese de, BleepingComputer güncellemeleri kontrol ettiğinde güncelleme hemen kullanıma sunuldu.
Web tarayıcısı ayrıca yeni güncellemeleri otomatik olarak kontrol edecek ve bir sonraki başlatmanın ardından bunları otomatik olarak yükleyecektir.
Google TAG tarafından bildirildi
Yüksek önem derecesine sahip sıfır gün güvenlik açığı (CVE-2023-5217), açık kaynaklı libvpx video codec kitaplığının VP8 kodlamasındaki yığın arabellek taşması zayıflığından kaynaklanıyor; etkisi uygulama çökmelerinden rastgele kod yürütmeye kadar değişen bir kusur.
Hata, Google Tehdit Analiz Grubu (TAG) güvenlik araştırmacısı Clément Lecigne tarafından 25 Eylül Pazartesi günü bildirildi.
Google TAG araştırmacıları, devlet destekli tehdit aktörleri ve gazeteciler ve muhalif politikacılar gibi yüksek riskli bireyleri hedef alan bilgisayar korsanlığı grupları tarafından hedeflenen casus yazılım saldırılarında sıklıkla kötüye kullanılan sıfır günleri bulmaları ve raporlamalarıyla tanınır.
Örneğin, Citizen Lab araştırmacılarıyla birlikte Google TAG, Cuma günü, Mayıs ve Eylül 2023 arasında Cytrox’un Predator casus yazılımını yüklemek için Apple tarafından geçen Perşembe günü yamalanan üç sıfır gün yamasının kullanıldığını açıkladı.
Google bugün CVE-2023-5217 sıfır gününün saldırılarda kullanıldığını açıklasa da şirket bu olaylarla ilgili henüz daha fazla bilgi paylaşmadı.
Google, “Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir” dedi. “Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız.”
Bunun doğrudan bir sonucu olarak, Google Chrome kullanıcıları, olası saldırılara karşı önleyici bir önlem olarak tarayıcılarını güncellemek için yeterli zamana sahip olacak.
Bu proaktif yaklaşım, özellikle daha fazla teknik ayrıntı ortaya çıktıkça, tehdit aktörlerinin kendi açıklarını oluşturma ve bunları gerçek dünya senaryolarında kullanma riskinin azaltılmasına yardımcı olabilir.
Google, iki hafta önce vahşi doğada istismar edilen başka bir sıfır günü (CVE-2023-4863 olarak izlenen) düzeltti; bu, yılın başından bu yana dördüncü oldu.
İlk başta bunu bir Chrome hatası olarak işaretleyen şirket, daha sonra başka bir CVE (CVE-2023-5129) ve maksimum 10/10 önem derecesi atadı ve bunu libwebp’de (çok sayıda proje tarafından kullanılan bir kitaplık) kritik bir güvenlik açığı olarak etiketledi. Signal, 1Password, Mozilla Firefox, Microsoft Edge, Apple’ın Safari’si ve yerel Android web tarayıcısı dahil).