Google, bilgisayar korsanlarının bu yıl yararlandığı üçüncü sıfır gün güvenlik açığını gidermek için Chrome web tarayıcısı için bir güvenlik güncellemesi yayınladı.
Güvenlik bülteninde “Google, CVE-2023-3079 için bir açıktan yararlanma durumunun var olduğunun farkındadır” yazıyor.
İstismar ayrıntıları bilinmiyor
Şirket, açıktan yararlanmanın nasıl olduğu ve saldırılarda nasıl kullanıldığıyla ilgili ayrıntıları açıklamadı ve bilgileri kusurun ciddiyeti ve türüyle sınırladı.
Teknik bilgileri saklamak, yeni bir güvenlik sorunu bulunduğunda Google’ın olağan tutumudur. Bu, saldırganların ayrıntıları ek istismarlar geliştirmek için kullanabileceğinden, çoğu güvenli sürüme geçene kadar kullanıcıları korumak içindir.
“Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğu bir düzeltmeyle güncellenene kadar kısıtlı tutulabilir. Hata, diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında bulunuyorsa da kısıtlamaları sürdüreceğiz” – Google
CVE-2023-3079’un yüksek önem düzeyine sahip bir sorun olduğu değerlendirildi ve Google’ın araştırmacısı Clément Lecigne tarafından 1 Haziran 2023’te keşfedildi ve Chrome’un tarayıcıda kod yürütmekle görevli JavaScript motoru V8’de bir tür karışıklığıdır.
Tür karışıklığı hataları, motor çalışma zamanı sırasında bir nesnenin türünü yanlış yorumladığında ortaya çıkar ve potansiyel olarak kötü amaçlı bellek manipülasyonuna ve rastgele kod yürütülmesine yol açar.
Google’ın bu yıl Chrome’da düzelttiği ilk sıfır gün güvenlik açığı, aynı zamanda V8 JavaScript motorunda bir tür karışıklık hatası olan CVE-2023-2033 idi.
Birkaç gün sonra Google, tarayıcının 2D grafik kitaplığı Skia’yı etkileyen aktif olarak kullanılan bir güvenlik açığı olan CVE-2023-2136’yı yamalamak için Chrome için bir acil durum güvenlik güncellemesi yayınladı.
Sıfırıncı gün güvenlik açıkları, genellikle hükümet, medya veya diğer hayati kuruluşlardaki yüksek profilli kişileri hedef alan, gelişmiş devlet destekli tehdit aktörleri tarafından istismar edilir. Bu nedenle, tüm Chrome kullanıcılarının mevcut güvenlik güncellemesini mümkün olan en kısa sürede yüklemeleri önemle tavsiye edilir.
En son Chrome sürümü, yeni bir sıfır günü düzeltmenin yanı sıra, dahili denetimler ve kod bulanıklaştırma analizinden keşfedilen çeşitli sorunları giderir.
Google, güncellemenin önümüzdeki günlerde/haftalarda kullanıma sunulacağını söylüyor, bu nedenle kademeli bir dağıtım olacak ve herkese aynı anda ulaşmayacak.
Chrome tarayıcıyı güncelleyin
Aktif olarak kullanılan güvenlik sorununu ele alan en son sürüme manuel olarak Chrome güncelleme prosedürünü başlatmak için Chrome ayarları menüsüne (sağ üst köşe) gidin ve Yardım → Google Chrome Hakkında’yı seçin.
Güncellemeyi tamamlamak için uygulamanın yeniden başlatılması gerekiyor.
Kullanılabilir güvenlik güncellemeleri, kullanıcı müdahalesi olmadan tarayıcı bir sonraki başlatılışında otomatik olarak yüklenir, bu nedenle en son sürümü çalıştırdığınızdan emin olmak için “Hakkında” sayfasını kontrol edin.
Vahşi doğada açıklardan yararlanan kusuru ele alan yeni kararlı kanal sürümü, Windows için 114.0.5735.110 ve Mac ve Linux için 114.0.5735.106 sürümüdür.