İkinci Google Chrome Zero-Day Hatası Vahşi Ortamda Aktif Olarak Kullanıldı

   Nisan 20, 2023  Posted in CyberSecurityNews


İkinci Google Chrome Zero-Day Hatası Vahşi Ortamda Aktif Olarak Kullanıldı – Acil Durum Güncellemesi!

Kısa bir süre önce Google, vahşi ortamda aktif olarak istismar edilen başka bir Chrome sıfır gün güvenlik açığını gidermek için bir acil durum güvenlik güncellemesi yayınladı. Bu sıfır gün açığı, CVE-2023-2136 olarak izlendi ve bu yıl bulunan ikinci sıfır gün güvenlik açığı oldu.

Bu durumda en heyecan verici gelişme, Google’ın CVE-2023-2136 için çalışan bir açıktan yararlanmanın zaten vahşi ortamda mevcut olduğunu bilmesidir.

Google, bu güncellemeyi tüm büyük platformlar için Kararlı Kanal Güncellemesi aracılığıyla yayınlarken ve burada bunlardan buna göre bahsettik: –

  • Pencereler: 112.0.5615.137/138
  • Mac: 112.0.5615.137
  • Linux: 112.0.5615.165

Chrome için Google’dan gelen bu yeni acil durum güncellemesi, sekiz hata düzeltmesiyle birlikte gelir.

DÖRT

  • Yüksek CVE-2023-2133: Service Worker API’de sınırların dışında bellek erişimi. VRI’den Rong Jian tarafından 30.03.2023 tarihinde bildirildi
  • Yüksek CVE-2023-2134: Service Worker API’de sınırların dışında bellek erişimi. VRI’den Rong Jian tarafından 30.03.2023 tarihinde bildirildi
  • Yüksek CVE-2023-2135: DevTools’ta serbest kaldıktan sonra kullanın. Cassidy Kim(@cassidy6564) tarafından 2023-03-14 tarihinde bildirildi
  • Yüksek CVE-2023-2136: Skia’da tamsayı taşması. Google’ın Tehdit Analizi Grubundan Clément Lecigne tarafından 2023-04-12 tarihinde bildirildi (Sıfır Gün)
  • Orta CVE-2023-2137: SQLite’ta yığın arabelleği taşması. 360 Vulnerability Research Institute’tan Nan Wang(@eternalsakura13) ve Guang Gong tarafından 2023-04-05 tarihinde bildirildi

Bunun yanı sıra Google, kararlı sürümün önümüzdeki birkaç gün veya hafta içinde yukarıda belirtilen platformların tüm kullanıcılarının kullanımına sunulacağını iddia etti.

Bu yılın ikinci Google Chrome Sıfır Gün Hatası

Yeni tespit edilen bu güvenlik açığı, bu yıl bulunan ikinci Google Chrome sıfır gün hatasıdır ve vahşi ortamda aktif olarak istismar edilmiştir.

Aşağıda, bu yıl bulunan her iki sıfır gün güvenlik açığının ayrıntılarından bahsetmiştik: –

İşte ilki: –

  • CVE Kimliği: CVE-2023-2033
  • Açıklama: Bu, V8’deki bir Karışıklık türüdür.
  • Şiddet: YÜKSEK
  • Raporlama: Google’ın Tehdit Analizi Grubundan Clément Lecigne tarafından 2023-04-11 tarihinde bildirilmiştir.

İşte ikincisi: –

  • CVE Kimliği: CVE-2023-2136
  • Açıklama: Skia’da bir tamsayı taşması.
  • Şiddet: YÜKSEK
  • Raporlama: Google’ın Tehdit Analizi Grubundan Clément Lecigne tarafından 2023-04-12 tarihinde bildirilmiştir.

Google’ın sahibi olduğu ve C++ ile yazılmış, yaygın olarak kullanılan bir açık kaynaklı 2B grafik kitaplığı olan Skia’nın bu kritik güvenlik açığını içerdiği bulundu (CVE-2023-2136).

Önem derecesi yüksek olan bu güvenlik açığı, bir tamsayı taşmasını içerir ve etkilenen sistemlere önemli zararlar verme potansiyeline sahiptir.

Skia, tarayıcının aşağıdakileri oluşturmasını sağlayan çok çeşitli API’ler sunduğundan, Chrome’un oluşturma ardışık düzeninin önemli bir bileşenidir:-

  • Grafik
  • şekiller
  • Metin
  • animasyonlar
  • Görüntüler

Tüm bu özellikler, onu geliştiriciler için güçlü bir araç haline getirerek, onların çarpıcı web deneyimleri oluşturmalarına ve birden çok platformda yüksek kaliteli grafikler sunmalarına olanak tanır.

En yaygın yazılım güvenlik açıkları arasında, tamsayı taşması hataları, belirli bir işlem, kullanılan belirli tamsayı türü için maksimum sınırı aşan bir değer ürettiğinde ortaya çıkar.

Bu tür olaylar sıklıkla istenmeyen yazılım davranışına yol açar ve genellikle sistemi yetkisiz erişime veya kötü niyetli saldırılara maruz bırakabilecek güvenlik tehditleri sunar.

“Google, vahşi ortamda CVE-2023-2136 için bir istismar olduğunun farkında.” Google dedi.

Ayrıca Google, kullanıcılara savunmasız Chrome sürümlerini düzeltmeleri için zaman tanımak için özette daha fazla ayrıntı sağlamadı. Sadece bu değil, bunu yapmak daha fazla sömürüyü de önleyecektir.

Şimdi güncelle

Aktif olarak istismar edilen güvenlik sorununu ele almak için, Chrome’u en son sürüme manuel olarak güncelleme işlemini başlatmak için izlemeniz gereken adımlar şunlardır:-

Google Chrome 112.0
  • Öncelikle sağ üst köşedeki Chrome ayarları menüsünü açın.
  • Ardından “Yardım” seçeneğini seçmelisiniz.
  • Şimdi “Google Chrome Hakkında” seçeneğini seçin.
  • Bu kadar; şimdi Chrome’unuz mevcut en son güncellemeyi kontrol edecek ve indirecektir.

Bu nedenle, daha fazla istismarı önlemek için, kullanıcıların mevcut güncellemeyi mümkün olur olmaz uygulamaları şiddetle tavsiye edilir.

Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin



Source link