Google, Chrome tarayıcısında aktif olarak istismar edildiğini söylediği yüksek düzeydeki bir güvenlik açığını gidermek için güvenlik düzeltmeleri yayınladı.
Takip edildi CVE-2024-7971Söz konusu güvenlik açığının, V8 JavaScript ve WebAssembly motorunda bir tür karışıklığı hatası olduğu belirtildi.
NIST Ulusal Güvenlik Açığı Veritabanı’nda (NVD) yer alan hata açıklamasına göre, “Google Chrome’un 128.0.6613.84 öncesi V8 sürümündeki tür karışıklığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına olanak tanıyordu.”
Microsoft Tehdit İstihbarat Merkezi (MSTIC) ve Microsoft Güvenlik Yanıt Merkezi’nin (MSRC) bu açığı keşfedip 19 Ağustos 2024’te bildirdiği bildirildi.
Kusuru istismar eden saldırıların niteliği veya bunu silah olarak kullanan tehdit aktörlerinin kimliği hakkında ek ayrıntı yayınlanmadı; öncelikli amaç, kullanıcıların çoğunluğunun bir düzeltmeyle güncellenmesini sağlamaktı.
Ancak teknoloji devi, kısa bir açıklamada “CVE-2024-7971 için bir istismarın doğada var olduğunun farkında olduklarını” kabul etti. CVE-2024-7971’in, CVE-2024-4947 ve CVE-2024-5274’ten sonra bu yıl V8’de düzelttiği üçüncü tür karışıklık hatası olduğunu belirtmekte fayda var.
Google, 2024’ün başından bu yana Chrome’daki dokuz sıfır gün açığını giderdi; bunlardan üçü Pwn2Own 2024’te gösterildi –
Kullanıcıların olası tehditleri azaltmak için Windows ve macOS için Chrome sürüm 128.0.6613.84/.85’e, Linux içinse sürüm 128.0.6613.84’e yükseltmeleri önerilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarına da düzeltmeler kullanıma sunulduğunda bunları uygulamaları tavsiye ediliyor.