Google, Chrome tarayıcısındaki bir dizi güvenlik açığını düzeltmek için acil bir güvenlik güncellemesi yayınladı; bunlara, vahşi ortamda aktif olarak yararlanılan sıfır gün güvenlik açığı (CVE-2023-6345) de dahildir.
CVE-2023-6345 Hakkında
Google’ın Tehdit Analizi Grubu’ndan Benoît Sevens ve Clément Lecigne tarafından bildirilen CVE-2023-6345, Google Chrome, ChromeOS, Android, Flutter için grafik motoru olarak yaygın olarak kullanılan açık kaynaklı bir 2D grafik kitaplığı olan Skia’daki bir tamsayı taşmasından kaynaklanıyor. ve diğerleri.
Şirket, güvenlik açığından saldırganlar tarafından yararlanıldığını ancak çoğu kullanıcı güncellemeyi uygulayana kadar daha fazla ayrıntı paylaşmayacağını söylüyor.
Şirket, “Hatanın, diğer projelerin de benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız” dedi.
Bu sefer düzeltilen diğer güvenlik açıkları şunlardır:
- CVE-2023-6348 – Yazım Denetiminde tür karışıklığı
- CVE-2023-6347 – Mojo’da ücretsiz olarak kullanın
- CVE-2023-6346 – WebAudio’da ücretsiz olarak kullanın
- CVE-2023-6350 – libavif’te sınırların dışında bellek erişimi
- CVE-2023-6351 – libavif’te ücretsiz olduktan sonra kullanın
Şirket, Kararlı kanaldaki güvenlik açıklarını ele aldı ve kullanıcılara, önümüzdeki günlerde/haftalarda kullanıma sunulacak olan Mac ve Linux için 119.0.6045.199 ve Windows için 119.0.6045.199/.200 sürümlerine güncelleme yapmaları tavsiye ediliyor.
Chrome’dan sıfır gün yararlanıldı
Google yakın zamanda Chrome tarayıcısında aktif olarak istismar edilen birkaç sıfır günü düzeltmek zorunda kaldı.
Bunlardan biri, başlangıçta Chrome’da olduğu belirtilen, ancak daha sonra yeniden sınıflandırılan ve libwebp kitaplığında (Chrome ve diğer birçok yazılım tarafından kullanılan) bir güvenlik açığı olarak tanımlanan kritik bir yığın arabellek taşması güvenlik açığı olan CVE-2023-4863’tür.
Eylül ayı sonlarında Google, başka bir yığın arabellek taşması güvenlik açığını (CVE-2023-5217) düzeltti; bu kez Google ve AOMedia video codec kitaplığı olan libvpx’te vp8 kodlamasında gerçekleşti.