Google, geçen ay Pwn2Own hackleme yarışması sırasında güvenlik araştırmacıları tarafından istismar edilen Chrome tarayıcısında başka bir sıfır gün güvenlik açığını düzeltti.
CVE-2024-3159 olarak izlenen bu yüksek önemdeki güvenlik açığı, Chrome V8 JavaScript motorundaki sınır dışı okuma zayıflığından kaynaklanıyor.
Uzaktaki saldırganlar, hazırlanmış HTML sayfalarını kullanarak bu güvenlik açığından yararlanarak bellek arabelleğinin ötesindeki verilere yığın bozulması yoluyla erişim sağlayabilir, bu da onlara hassas bilgiler sağlayabilir veya bir çökmeyi tetikleyebilir.
Palo Alto Networks güvenlik araştırmacıları Edouard Bochin ve Tao Yan sıfır günün tanıtımını yaptı Pwn2Own Vancouver 2024'ün ikinci gününde V8 sertleşmesini yenmek için.
Çift dokunma istismarları, Google Chrome ve Microsoft Edge'de rastgele kod yürütmelerine olanak tanıdı ve onlara 42.500 ABD doları ödül kazandırdı.
Google, önümüzdeki günlerde dünya çapında kullanıma sunulacak olan Google Chrome kararlı kanal sürümü 123.0.6312.105/.106/.107 (Windows ve Mac) ve 123.0.6312.105 (Linux) için sıfır gün sorununu düzeltti.
Bir hafta önce Google, Pwn2Own Vancouver 2024'te istismar edilen iki Chrome sıfır gün sorununu daha düzeltti. WebAssembly (Wasm) açık standardında yüksek önem derecesine sahip bir karışıklık zayıflığı (CVE-2024-2887) olan ilki, Manfred Paul'un hedefiydi. Hem Chrome'u hem de Edge'i hedef alan RCE istismarına iki kez dokunun.
İkincisi, WebCodecs API'sindeki (CVE-2024-2886) ücretsiz kullanım (UAF) zayıflığı, KAIST Hacking Lab'dan Seunghyun Lee tarafından her iki Chromium web tarayıcısında da uzaktan kod yürütme elde etmek için kullanıldı.
Mozilla ayrıca, bu yılki Pwn2Own Vancouver yarışmasında Manfred Paul tarafından kullanılan iki Firefox sıfır gün özelliğini de hataların istismar edildiği gün yamaladı.
Hem Google hem de Mozilla bir hafta içinde güvenlik yamaları yayınlasa da, Trend Micro'nun Sıfır Gün Girişimi 90 gün sonra hata ayrıntılarını kamuya açıkladığından satıcılar genellikle Pwn2Own sıfır günlerini düzeltmek için zaman ayırıyorlar.
Toplamda, Google bu yıl Chrome'da dört sıfır gün yaması uyguladı; dördüncüsü Ocak ayında aktif olarak istismar edilen sıfır gün (CVE-2024-0519) olarak ele alındı; bu yama, saldırganların yama yapılmamış tarayıcıları çökertmesine veya devre dışı kalma nedeniyle hassas bilgilere erişmesine olanak sağladı. -V8 JavaScript motorundaki bellek erişimi zayıflığını sınırlar.
Salı günü şirket ayrıca adli tıp firmaları tarafından Pixel telefonların kilidini PIN olmadan açmak ve içlerinde depolanan verilere erişim sağlamak için kullanılan iki Android sıfır gününü de düzeltti.