Google, yılın başından bu yana saldırılarda kullanılan dördüncü Chrome sıfır gün güvenlik açığını düzeltmek için acil güvenlik güncellemeleri yayınladı.
Şirket, Pazartesi günü yayınlanan bir güvenlik tavsiyesinde “Google, CVE-2023-4863’e yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır” dedi.
Yeni sürüm şu anda Mevcut ve Genişletilmiş kararlı kanallardaki kullanıcılara sunuluyor ve önümüzdeki günlerde veya haftalarda kullanıcı tabanının tamamına ulaşacağı tahmin ediliyor.
Chrome kullanıcılarının web tarayıcılarını en kısa sürede 116.0.5845.187 (Mac ve Linux) ve 116.0.5845.187/.188 (Windows) sürümüne yükseltmeleri önerilir; çünkü bu sürüm, Windows, Mac ve CVE-2023-4863 güvenlik açığını yamalar. Linux sistemleri.
Bu güncelleme, BleepingComputer’ın Chrome menüsü > Yardım > Google Chrome Hakkında aracılığıyla yeni güncellemeleri kontrol etmesiyle hemen kullanıma sunuldu.
Web tarayıcısı ayrıca yeni güncellemeleri kontrol edecek ve yeniden başlatmanın ardından kullanıcı müdahalesine gerek kalmadan bunları otomatik olarak yükleyecektir.
Saldırı ayrıntıları henüz mevcut değil
Kritik sıfır gün güvenlik açığı (CVE-2023-4863), etkisi çökmelerden rastgele kod yürütmeye kadar değişen bir WebP yığın arabellek taşması zayıflığından kaynaklanıyor.
Hata, 6 Eylül Çarşamba günü Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve Toronto Üniversitesi Munk Okulu’ndaki The Citizen Lab tarafından bildirildi.
Citizen Lab güvenlik araştırmacıları, dünya çapında muhalif politikacılar, gazeteciler ve muhalifler gibi yüksek riskli bireyleri hedef alan hükümet destekli tehdit aktörleri tarafından yüksek hedefli casus yazılım saldırılarında kötüye kullanılan sıfır gün hatalarını sıklıkla buldu ve açıkladı.
Perşembe günü Apple, NSO Group’un Pegasus paralı asker casus yazılımını tamamen yamalı iPhone’lara bulaştırmak için BLASTPASS olarak bilinen bir istismar zincirinin parçası olarak saldırılarda kullanıldığı gerekçesiyle Citizen Lab tarafından etiketlenen iki sıfır günü yamaladı.
Google, CVE-2023-4863 sıfır gününün vahşi ortamda istismar edildiğini söylese de şirket bu saldırılarla ilgili henüz daha fazla ayrıntı paylaşmadı.
Google, “Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir” dedi. “Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız.”
Bu, Chrome kullanıcılarının, daha fazla tehdit aktörünün kendi güvenlik açıklarını oluşturmasına ve bunları vahşi ortamda dağıtmasına olanak tanıyabilecek ek teknik özellikler yayınlanmadan önce tarayıcılarını saldırıları engelleyecek şekilde güncelleyebileceği anlamına geliyor.