Google, bir hafta içinde yapılan saldırılarda istismar edilen üçüncü sıfır gün güvenlik açığını gidermek için yeni bir acil durum Chrome güvenlik güncellemesi yayınladı.
Arama devi Çarşamba günü yayınlanan bir güvenlik tavsiyesinde “Google, CVE-2024-4947’ye yönelik bir istismarın ortalıkta mevcut olduğunun farkındadır” dedi.
Yüksek önem derecesine sahip sıfır gün güvenlik açığı (CVE-2024-4947), Kaspersky’den Vasily Berdnikov ve Boris Larin tarafından bildirilen Chrome V8 JavaScript motorundaki tür karışıklığı zayıflığından kaynaklanıyor.
Bu tür kusurlar genellikle tehdit aktörlerinin arabellek sınırlarının dışında bellek okuyarak veya yazarak tarayıcı çökmelerini tetiklemesine olanak tanısa da, hedeflenen cihazlarda rastgele kod yürütmek için de bunları kullanabilirler.
Bu hafta aktif olarak yararlanılan diğer iki Chrome sıfır-gün hatası CVE-2024-4671 (Görseller bileşenindeki serbest kullanım sonrası kullanım kusuru) ve CVE-2024-4761’dir (V8 JavaScript’te sınır dışı yazma hatası) motor).
Microsoft ayrıca CVE-2024-4947’yi hedef alan “doğal ortamda mevcut olan son güvenlik açıklarının farkında olduğunu” ve mühendislerinin Chromium tabanlı Edge web tarayıcısı için “bir güvenlik düzeltmesi yayınlamak için aktif olarak çalıştığını” söyledi.
Mevcut Mevcut kanal kullanıcılarına dağıtımın düzeltilmesi
Şirket, sıfır gün kusurunu Mac/Windows için 125.0.6422.60/.61 ve 125.0.6422.60 (Linux) sürümüyle düzeltti. Yeni sürümler önümüzdeki haftalarda Kararlı Masaüstü kanalındaki tüm kullanıcılara sunulacak.
Güvenlik yamaları mevcut olduğunda Chrome otomatik olarak güncellenir. Ancak kullanıcılar, Chrome menüsü > Yardım > Google Chrome Hakkında’ya gidip güncellemenin bitmesini bekleyip ardından yüklemek için ‘Yeniden Başlat’ düğmesini tıklayarak da en son sürümü çalıştırdıklarını doğrulayabilirler.
BleepingComputer yeni güncellemeleri kontrol ettiğinde bugünkü güncelleme hemen mevcuttu.
Aktif olarak yararlanılan yedinci sıfır gün 2024’te yamalandı
Google, CVE-2024-4947 hatasının saldırılarda kullanıldığını doğrulasa da şirket bu olaylarla ilgili henüz daha fazla ayrıntı paylaşmadı.
“Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir. Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kitaplığında mevcut olması durumunda da kısıtlamaları koruyacağız. ” dedi Google.
Bu en son Chrome güvenlik açığı, yılın başından bu yana Google web tarayıcısında düzeltilen yedinci sıfır gün güvenlik açığıdır ve 2024’te yamalanacak sıfır günlerin tam listesi şunları içerir:
- CVE-2024-0519: Chrome V8 JavaScript motoru içindeki yüksek önem derecesine sahip, sınır dışı bellek erişimi zayıflığı, uzaktaki saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına ve hassas bilgilere yetkisiz erişime yol açmasına olanak tanıyor.
- CVE-2024-2887: WebAssembly (Wasm) standardında yüksek önem derecesine sahip bir karışıklık hatası. Bu, hazırlanmış bir HTML sayfasından yararlanarak uzaktan kod yürütme (RCE) istismarlarına yol açabilir.
- CVE-2024-2886: Web uygulamaları tarafından ses ve video kodlamak ve kodunu çözmek için kullanılan WebCodecs API’sinde bulunan serbest kullanım sonrası güvenlik açığı. Uzaktaki saldırganlar, hazırlanmış HTML sayfaları aracılığıyla rastgele okuma ve yazma işlemleri gerçekleştirmek için bundan yararlandı ve bu da uzaktan kod yürütülmesine yol açtı.
- CVE-2024-3159: Chrome V8 JavaScript motorunda sınır dışı okumanın neden olduğu yüksek önem dereceli bir güvenlik açığı. Uzaktaki saldırganlar, tahsis edilen bellek arabelleğinin ötesindeki verilere erişmek için özel hazırlanmış HTML sayfalarını kullanarak bu kusurdan yararlandı ve bu da hassas bilgilerin çıkarılması için kullanılabilecek yığın bozulmasına neden oldu.
- CVE-2024-4671: İçeriğin tarayıcıda oluşturulmasını ve görüntülenmesini yöneten Görseller bileşenindeki yüksek önem derecesine sahip bir ücretsiz kullanım sonrası kusur.
- CVE-2024-4761: Uygulamada JS kodunun yürütülmesinden sorumlu olan Chrome’un V8 JavaScript motorunda, sınır dışı yazma sorunu.