Google, Chrome tarayıcısının yeni kararlı sürümünde, mevcut bir istismarla birlikte sıfır gün (CVE-2024-0519) dahil olmak üzere V8 motorunu etkileyen üç güvenlik açığını düzeltti.
CVE-2024-0519 Hakkında
V8, Chromium Project tarafından Chromium ve Google Chrome web tarayıcıları için geliştirilen açık kaynaklı bir JavaScript ve WebAssembly motorudur.
CVE-2024-0519, NIST tarafından belirtildiği gibi, “uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına izin veren” (açıkça istismar edilebilir) bir sınır dışı bellek erişimidir.
Güvenlik açığı anonim bir araştırmacı tarafından işaretlendi.
Chrome ekibi, “Google, CVE-2024-0519’a yönelik bir istismarın yaygın olarak mevcut olduğuna dair raporların farkındadır” diyor.
Mac, Linux, Windows ve Android için Chrome’un bu son sürümünde yamalanan diğer iki V8 motor hatası CVE-2024-0517 (sınırların dışında yazma hatası) ve CVE-2024-0518’dir (bir tür karışıklık hatası).
Chrome’u otomatik olarak güncellenecek şekilde ayarlayan Chrome kullanıcılarının herhangi bir işlem yapmasına gerek yoktur ancak manuel olarak güncelleyenlerin bu işlemi en kısa sürede yapması gerekir. (Chrome’daki sıfır günlerin düzenli olarak istismar edildiği göz önüne alındığında, otomatik güncellemeleri tercih etmek kötü bir fikir değildir.)
Diğer Chromium tabanlı tarayıcılardaki düzeltmeler
Microsoft Edge, Chromium’u temel aldığından Microsoft, bir güvenlik yaması yayınlamak için çalıştıklarını duyurdu.
“Microsoft Edge’in gelişmiş güvenlik modu özelliğinin bu güvenlik açığını azalttığını vurgulamakta fayda var. Bu güvenlik özelliğini tercih edebilir ve Microsoft Edge’in sizi bu istismara karşı koruduğuna dair gönül rahatlığı yaşayabilirsiniz” diye eklediler.
Brave, Opera ve Vivaldi gibi diğer popüler Chromium tabanlı tarayıcılar da muhtemelen bu düzeltmeleri yakında içerecektir.