Başka bir gün, başka bir Google Chrome güvenlik açığı grubu.
Halihazırda vahşi doğada gözlemlenen bir sıfırıncı gün açığını ele alan son acil durum Google Chrome güvenlik güncellemesinin hemen ardından, Chrome tarayıcısı için başka bir kritik güvenlik güncellemesi yayınlandı.
Bu en son Google Chrome güvenlik açıkları güncellemesi, biri tarayıcının çevrimiçi formlara ödeme ayrıntılarını otomatik olarak girmekten sorumlu “ödemeleri otomatik doldurma” işlevini etkileyen kritik bir sorun olan dört hatayı giderir.
Bu güvenlik açıkları, uzaktaki bir saldırgan tarafından istismar edilirse, hedeflenen sistemde uzaktan kod yürütülmesine ve veri manipülasyonuna yol açabilir.
Bu güvenlik açıklarının etkisi, bir saldırganın uzaktan kod yürütmesine ve etkilenen sistemlerdeki verileri manipüle etmesine izin verdiği için geniş kapsamlıdır.
Android’de 114.0.5735.130/.131, Linux’ta 114.0.5735.133, Mac’te 114.0.5735.133 veya Windows’ta 114.0.5735.133/134’ten önceki Google Chrome sürümlerini kullanan kullanıcılar özellikle dikkatli olmalıdır.
Google Chrome güvenlik açıkları: Bir kritik, dört yüksek
CVE-2023-3079 ile aynı düzeyde aciliyeti taşımasa da, şu anda dolaşımda olan bilinen açıklardan yararlanma olmadığından CVE-2023-3214, aşağıdaki nedenlerden dolayı yine de çok ciddiye alınmalıdır.
Tespit edilen en son Google Chrome güvenlik açıkları arasında yer alan bu güvenlik sorunu, kritik olarak sınıflandırılır ve Google Chrome tarayıcısının ödemeleri otomatik doldurma işlevini etkiler. ‘Ödemeler’ ve ‘kritik’ terimlerinin birleşimi uyarı zillerini çalmaya yetti.
“Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlı tutulabilir. Hata, diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında bulunuyorsa da kısıtlamaları sürdüreceğiz” dedi.
Tehdit aktörlerinin güvenlik açığı uyarılarını dikkate alması nedeniyle Google, politika gereği bu tür teknik ayrıntıları, kullanıcıların çoğu otomatik güncelleme sunumunu alıp uygulayana kadar saklı tutar.
Google Chrome güvenlik açıkları: Ücretsiz kullanımdan sonra kullanın
En son dört Google Chrome güvenlik açığı arasında, kritik bir ve iki yüksek önem dereceli güvenlik açığı, “ücretsiz kullanım” güvenlik açığı kategorisine giriyor.
“Use-After-Free (UAF), programın çalışması sırasında dinamik belleğin yanlış kullanımıyla ilgili bir güvenlik açığıdır. Bir bellek konumunu boşalttıktan sonra, bir program bu belleğin işaretçisini temizlemezse, bir saldırgan bu hatayı programı hacklemek için kullanabilir.”
“Bir saldırgan, UAF’leri kullanarak bir programa rasgele kod – veya ona bir referans – iletebilir ve sarkan bir işaretçi kullanarak kodun başına gidebilir. Bu şekilde, kötü amaçlı kodun çalıştırılması, siber suçlunun kurbanın sistemi üzerinde kontrol sahibi olmasına olanak sağlayabilir.”
Bu arada, yüksek önem derecesine sahip diğer üç güvenlik açığı da önemli bir tehdit oluşturuyor.
Önem düzeyi yüksek Google Chrome güvenlik açıkları
CVE-2023-3215: Bu güvenlik açığı, ses, video ve veri iletimi için kullanılan gerçek zamanlı bir iletişim sistemi olan Chromium WebRTC’de serbest bırakıldıktan sonra kullanım sorununu içerir.
CVE-2023-3216: Bu güvenlik açığı, V8 JavaScript motorundaki bir tür karışıklığı sorunuyla ilgilidir.
CVE-2023-3217: Ücretsiz güvenlik açığından sonra başka bir kullanım ele alındı, bu kez artırılmış gerçeklik ve sanal gerçeklik için bir uygulama programlama arabirimi olan Chrome tarayıcının WebXR’sinde.
Kullanıcılar, tarayıcıyı güncellemek için Google Chrome menüsündeki Yardım|Hakkında seçeneğine gidebilir. Güncelleme mevcutsa, otomatik olarak indirilmeye başlayacaktır. Güncelleme önümüzdeki günlerde tüm kullanıcılara gösterilecek.
Kullanıcıların, değişiklikleri etkinleştirmek için güncellemeyi yükledikten sonra tarayıcılarını yeniden başlatmaları gerekir; aksi takdirde birimler saldırılara karşı savunmasız kalacaktır.
Chromium motorunu kullanan diğer tarayıcılar da güncellemeleri alacaktır. Bu güncellemeler zaten dağıtılmış olabilir veya önümüzdeki birkaç gün içinde kullanıma sunulacaktır.
Google, kullanıcıların olası güvenlik risklerine karşı koruma sağlamak için güncellemenin Brave, Edge, Opera veya Vivaldi tarayıcılarına yüklenip etkinleştirilmediğini kontrol etmelerini önerir.