Google, Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışmasında istismar edilen iki sıfır gün açığı da dahil olmak üzere Salı günü Chrome tarayıcısındaki yedi güvenlik açığını yamaladı.
Pwn2Own mücadelesindeki araştırmacılar, WebAssembly'de Tür Karışıklığı (CVE-2024-2887) ve WebCodecs'te Ücretsiz Sonra Kullan (CVE-2024-2886) olarak etiketlenen sıfır günleri istismar etti.
Google, Google Chrome Stable kanalındaki güvenlik açıklarını Windows ve Mac için 123.0.6312.86/.87 ve Linux için 123.0.6312.86 olarak düzeltti.
Güncelleme önümüzdeki gün ve haftalarda kullanıma sunulacak.
Ele Alınan Sıfır Gün Kusurlarının Ayrıntıları
Yarışmanın galibi araştırmacı Manfred Paul (@_manfp), WebAssembly'deki CVE-2024-2887 olarak tanımlanan yüksek önemdeki Type Confusion kusurunu kullandı ve bunun için Pwn2Own yarışmasının ilk gününde 42.500 $ ödül aldı.
Google Chrome 123.0.6312.86'dan önce, WebAssembly'deki tür karışıklığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası üzerinden rastgele kod çalıştırmasına olanak sağlıyordu.
KAIST Hacking Lab'dan Seunghyun Lee (@0x10n), CVE-2024-2886 olarak izlenen WebCodec'lerde yüksek düzeyde ücretsiz kullanımdan yararlandı; Pwn2Own yarışmasının ikinci gününde 9$ Master of Pwn puanı ve 85.000$ aldı.
Google Chrome 123.0.6312.86'dan önce, WebCodecs'te ücretsiz kullanım, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla rastgele okuma/yazma gerçekleştirmesine olanak tanıyordu.
Ele Alınan Diğer Güvenlik Sorunları
ANGLE'da serbest kaldıktan sonra kritik bir kullanım CVE-2024-2883 olarak takip edildi. Cassidy Kim (@cassidy6564) sorunu bildirdi ve Google bunun için ona 10.000 ABD doları ödül verdi.
Güvenlik açığı, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası kullanarak yığın bozulmasından yararlanmasına olanak sağladı.
Şafakta serbest kaldıktan sonra CVE-2024-2885 olarak tanımlanan yüksek önem dereceli bir kullanım. Araştırmacı Wgslfuzz sorunu bildirdi. Google Chrome, bu güvenlik açığına verilecek ödülle ilgili ayrıntılı bilgi vermedi.
Özel olarak tasarlanmış bir HTML sayfası kullanan güvenlik açığı, uzaktaki bir saldırganın yığın bozulmasından yararlanmasına olanak tanımış olabilir.
Nasıl Güncellenir?
Google Chrome kullanıcıları, masaüstü cihazlarda en son sürümü görüntülemek için Menü > Yardım > Google Chrome Hakkında'ya gidebilir veya adres çubuğuna chrome://settings/help yazabilir.
Tarayıcı, web sitesine erişildiği anda güncellemeleri arar; bulduğu her şeyi indirir ve yükler. En son sürümü algılamalı ve yüklemelidir.
Güncellemeyi tamamlamak için tarayıcının yeniden başlatılması gerekir.
“Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir.
Google, hatanın diğer projelerin de benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında mevcut olması durumunda da kısıtlamaları koruyacağız” dedi.
Google'dan bu güvenlik açıklarından herhangi birinin yaygın olarak kullanıldığına dair bir gösterge yok.
Google, güvenlik açıklarından yararlanılmasını önlemek için kullanıcıların Google Chrome'un en son sürümüne güncelleme yapmalarını önerir.
Mozilla ayrıca, yakın zamanda Firefox web tarayıcısındaki Pwn2Own hackleme yarışmasında Manfred Paul (@_manfp) tarafından istismar edilen, CVE-2024-29944 ve CVE-2024-29943 olarak takip edilen iki sıfır gün güvenlik açığını da ele alıyor.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.