Google, yılın başından bu yana yaygın olarak kullanılan ilk Chrome sıfır gün güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
Şirket Salı günü yayınlanan bir güvenlik tavsiyesinde “Google, CVE-2024-0519’a yönelik bir istismarın yaygın olarak mevcut olduğuna dair raporların farkındadır” dedi.
Şirket, Kararlı Masaüstü kanalındaki kullanıcılar için sıfır günü düzeltti ve yamalı sürümler dünya çapında Windows (120.0.6099.224/225), Mac (120.0.6099.234) ve Linux (120.0.6099.224) kullanıcılarına bir haftadan kısa bir süre içinde dağıtıldı. Google’a bildirildikten sonra.
Google, güvenlik güncellemesinin etkilenen tüm kullanıcılara ulaşmasının günler veya haftalar alabileceğini söylese de, BleepingComputer bugün güncellemeleri kontrol ettiğinde güncelleme hemen kullanıma sunuldu.
Web tarayıcılarını manuel olarak güncellememeyi tercih edenler, yeni güncellemeleri otomatik olarak kontrol etmesi ve bir sonraki başlatmadan sonra bunları yüklemesi için Chrome’a güvenebilirler.
Yüksek önem derecesine sahip sıfır gün güvenlik açığı (CVE-2024-0519), Chrome V8 JavaScript motorundaki yüksek önem derecesine sahip sınır dışı bellek erişimi zayıflığından kaynaklanmaktadır. Saldırganlar, belleğin ötesindeki verilere erişim elde etmek için bundan yararlanabilir. hassas bilgilere erişmelerini sağlar veya bir çökmeyi tetikler.
MITRE, “Beklenen nöbetçi, sınır dışı bellekte yer almayabilir, bu da aşırı verinin okunmasına neden olarak segmentasyon hatasına veya arabellek taşmasına yol açabilir” diye açıklıyor. “Ürün, bir dizini değiştirebilir veya ara belleğin sınırları dışındaki bir bellek konumuna başvuran işaretçi aritmetiği gerçekleştirebilir. Daha sonra yapılan bir okuma işlemi, tanımlanmamış veya beklenmeyen sonuçlar üretir.”
Sınır dışı belleğe yetkisiz erişimin yanı sıra CVE-2024-0519, başka bir zayıflık aracılığıyla kod yürütmeyi kolaylaştırmak amacıyla ASLR gibi koruma mekanizmalarını atlamak için de kullanılabilir.
Google, saldırılarda kullanılan CVE-2024-0519 sıfır gün istismarlarını bilse de şirket bu olaylarla ilgili henüz daha fazla ayrıntı paylaşmadı.
Google, “Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir” dedi. “Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız.”
Google bugün ayrıca V8’in sınır dışı yazma (CVE-2024-0517) ve tür karışıklığı (CVE-2024-0518) kusurlarını da yamalayarak güvenliği ihlal edilmiş cihazlarda rastgele kod yürütülmesine olanak sağladı.
Geçen yıl Google, CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023- olarak izlenen saldırılarda kullanılan sekiz Chrome sıfır gün hatasını düzeltti. 4762, CVE-2023-2136 ve CVE-2023-2033.
CVE-2023-4762 gibi bunlardan bazıları, şirketin yamaları yayınlamasından birkaç hafta sonra gazeteciler, muhalif politikacılar ve muhalifler dahil olmak üzere yüksek riskli kullanıcılara ait savunmasız cihazlara casus yazılım dağıtmak için kullanılan sıfır gün olarak etiketlendi.