-1.webp "Mozilla Sıfır Gün Güvenlik Açığı Doğada İstismara Uğradı – Hemen Yama!")
Kullanıcı güvenliğini korumak için zamana karşı yarışan Google ve Mozilla’nın da aralarında bulunduğu büyük tarayıcı satıcıları, WebP Codec bileşeninde keşfedilen kritik bir güvenlik açığına yanıt olarak kritik güncellemeleri yayınlamak için acele ettiler.
CVE-2023-4863 tanımlayıcısına sahip bu yeni keşfedilen güvenlik açığı, istismar edilebilirliği nedeniyle siber güvenlik topluluğunda şok dalgaları yarattı.
Güvenlik Açığının Niteliği
CVE-2023-4863 tanımlayıcısıyla tanımlanan ve belirlenen güvenlik kusuru, libwebp’deki bir yığın arabellek taşmasıdır.
Bir saldırgan, kötü amaçlı bir WebP görüntüsü aracılığıyla bu güvenlik açığından yararlanabilir ve önemli bir risk oluşturabilir.
Google Chrome ve Mozilla Firefox gibi popüler web tarayıcıları, etkili görüntü sıkıştırma yetenekleri nedeniyle bu görüntü biçimini kullanır.
Google, üstün kayıpsız ve kayıplı sıkıştırma yetenekleriyle tanınan ve onu web görüntüleri için ideal kılan çağdaş bir görüntü formatı olan WebP’yi yarattı.
PNG ve JPEG gibi geleneksel formatları aşan boyut ve performans avantajları, yaygın olarak benimsenmesine yol açmıştır.
Kusurlu bir görüntüyü açan bir kullanıcı, içerik sürecinde potansiyel olarak bir yığın arabellek taşması başlatabilir ve bu da rastgele kod yürütülmesine veya sistemin tehlikeye atılmasına yol açabilir.
Bu, daha fazla kötüye kullanımı önlemek ve kullanıcıları olası zararlardan korumak için bu sorunun mümkün olan en kısa sürede ele alınmasının önemini vurgulamaktadır.
Sorun, verilerin doğruluğunu kontrol etmek için kullanılan “BuildHuffmanTable” işlevine kadar izlenebilir. Özellikle hata, tablonun doğru veri için çok küçük çıkması durumunda daha fazla bellek verildiğinde ortaya çıkar.
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Başlıca Tarayıcılardan Hızlı Yanıtlar
Google, Stabil ve Genişletilmiş kararlı kanallarında önemli değişiklikler yaparak ne kadar hızlı harekete geçebileceğini gösterdi.
Mac ve Linux için 116.0.5845.187 ve Windows için 116.0.5845.187/.188 sürüm numaralarına sahip olan bu önemli değişiklikler halihazırda uygulamaya konmuştur ve önümüzdeki birkaç gün ve hafta içinde kademeli olarak kullanıma sunulacaktır.
Mozilla da stratejik davranıyor ve çok sayıda kullanıcısını korumak için güncellemesini Firefox 117.0.1 sürümünde yayınlamayı planlıyor.
Apple ayrıca bu kusuru düzelten bir güncelleme de gönderdi ki bu çok önemli.
Bu zayıflık, 6 Eylül 2023’te Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ekibi ile Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab’ın bunu sorumlu bir şekilde bildirmesiyle tespit edildi.
Google ve Mozilla ayrıca CVE-2023-4863’e yönelik canlı bir istismarın ortalıkta olduğunu doğruladı. Bu durumun ne kadar acil olduğunu gösteriyor.
Kullanıcıya Dikkat Edilmesi Önerilir
Kullanıcıların, bu önemli güvenlik yamalarını kullanabilmeleri için bilgisayarlarını mümkün olan en kısa sürede güncellemeleri şiddetle tavsiye edilir.
Tarayıcı üreticilerinin internet deneyimini güvenli ve güvenilir tutmak için attığı proaktif adımlar, herkesin bu şekilde kalmasını ne kadar istediğini gösteriyor.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.