Krom Kullanımdan Ardından Güvenlik Açığı Saldırganlarının Kodu Yürütmesine İzin Ver

   Şubat 13, 2025  Posted in CyberSecurityNews


Krom Kullanımdan Sonra Kullanım Güvenlik Açığı V8

Google, Chrome için acil bir güvenlik güncellemesi yayınladı ve saldırganların kötü amaçlı kod yürütmesine veya kullanıcı verilerini tehlikeye atmasına izin verebilecek dört yüksek şiddetli güvenlik açıkına değindi.

Güncelleme, Windows/Mac için Chrome sürümü 133.0.6943.98/.99 ve Linux için 133.0.6943.98, V8 JavaScript motoru ve navigasyon sistemleri de dahil olmak üzere çekirdek tarayıcı bileşenlerindeki kritik kusurları hedefler.

Temel güvenlik açıkları yamalı

Güncelleme, harici araştırmacılar tarafından bildirilen dört kritik güvenlik sorununu çözmektedir:

Hizmet Olarak Siem

  1. CVE-2025-0995: Chrome’un V8 JavaScript motorunda, uzak saldırganların hazırlanmış HTML sayfaları aracılığıyla yığın yolsuzluğundan yararlanmasına izin veren bir kullanımdan sonra kullanılmayan bir kusur. Google, bu keşif için 55.000 dolarlık bir ödül verdi.
  2. CVE-2025-0996: Tarayıcı kullanıcı arayüzünde uygunsuz bir uygulama, kullanıcıları aldatmalarını sağlayan sahte saldırılar.
  3. CVE-2025-0997: Navigasyon bileşeninde kullanılmayan bir güvenlik açığı, keyfi kod yürütme riskiyle karşı karşıya.
  4. CVE-2025-0998: Veri sızıntılarına veya sistem çökmelerine yol açabilecek V8’de sınır dışı bellek erişimi.

CVSS ölçeğinde 9.8/10 olarak derecelendirilen bu güvenlik açıkları, uzaktan kod yürütme ve hizmet reddi saldırıları da dahil olmak üzere ciddi riskler oluşturmaktadır.

  • Bir tür bellek bozulması hatası olan kullanılmayan kusurlar, saldırganların keyfi kod veya çarpışma tarayıcılarını yürütmek için serbest belleğin manipüle etmesine izin verebilir.
  • V8’deki sınır dışı bellek erişimi, hassas verileri veya yozlaşmış sistem işlemlerini sızdırabilir.
  • Tarayıcı UI sahte (CVE-2025-0996), kullanıcıları meşru arayüzler olarak gizlenmiş kötü amaçlı öğelerle etkileşime girebilir.

Chrome otomatik olarak güncellenirken, kullanıcılar işlemi manuel olarak tetiklemelidir:

  1. Chrome’u açın ve Google Chrome hakkında üç noktalı menü> Yardım> ‘ı tıklayın.
  2. Tarayıcının güncellemeleri indirmesine ve yeniden başlatmasına izin verin.

Bu güvenlik açıklarını hedefleyen istismarlar güvenlik kum havuzlarını atlayabilir ve organizasyonel ağlardan ödün verebileceğinden, kurumsal yöneticilere yamalar dağıtmaları önerilir.

Bu güncelleme, V8 tipi karışıklık (CVE-2025-0291) ve SKIA yığın yolsuzluğu (CVE-2025-0444) için yamalar dahil olmak üzere son aylarda bir dizi yüksek şiddetli düzeltmeyi takip etmektedir.

Google’ın hata ödül programlarına devam eden güvenmesi, tarayıcı hedefli saldırıların artan sofistike olmasının altını çiziyor.

Güvenlik uzmanları, güncellemelerin geciktirilmesinin, özellikle kimlik avı kampanyaları veya kötü niyetli web siteleri aracılığıyla bu kusurlardan yararlanan saldırılara maruz kalmayı artırdığını vurgulamaktadır. Kullanıcıların en son yamaları uygulamaları ve şüpheli web içeriğine karşı uyanık kalmaları istenir.

PCI DSS 4.0 ve Tedarik Zinciri Saldırısı Önleme – Ücretsiz Web Semineri



Source link