Google, Chrome tarayıcısında, prestijli Pwn2Own 2024 bilgisayar korsanlığı yarışmasında sergilenen iki sıfır gün açığı da dahil olmak üzere birçok güvenlik açığını gideren önemli bir güncellemeyi duyurdu.
Windows, Mac ve Linux'taki Chrome kullanıcılarını etkileyen güncelleme, tarayıcı sürümünü Windows ve Mac için 123.0.6312.86/.87'ye ve Linux için 123.0.6312.86'ya yükseltiyor; kullanıma sunulmasının önümüzdeki günlerde kullanıcılara aşamalı olarak ulaşması bekleniyor ve haftalar.
Güvenlik Düzeltmeleri ve Ödüller
Google'ın en son güvenlik güncellemesi, özellikle harici araştırmacılar tarafından keşfedilenlere vurgu yaparak yedi güvenlik açığına yönelik düzeltmeler içeriyor.
Teknoloji devinin, hataları tespit edip bildirdikleri için bu katkıda bulunanları ödüllendirme konusunda uzun süredir devam eden bir geleneği var.
Bu uygulama Chrome'un güvenliğini artırır ve şirket ile siber güvenlik topluluğu arasında işbirliğine dayalı bir ilişkiyi geliştirir.
Kritik CVE-2024-2883: ANGLE'da Serbest Sonra Kullan
Bu güncellemede ele alınan en kritik sorunlardan biri, çeşitli platformlarda grafik performansını iyileştirmek için Chrome tarafından kullanılan platformlar arası grafik motoru soyutlama katmanı olan ANGLE'daki ücretsiz kullanım sonrası güvenlik açığı olan CVE-2024-2883'tür.
Bu güvenlik açığı Cassidy Kim (@cassidy6564) tarafından 3 Mart 2024'te bildirildi ve 10.000 ABD doları ödülle ödüllendirildi. Serbest kullanımdan sonra güvenlik açıkları rastgele kod yürütülmesine yol açarak onları özellikle tehlikeli hale getirebilir.
Yüksek CVE-2024-2885: Şafakta Serbest Sonra Kullan
Bu sürümde yamalanan bir diğer önemli güvenlik açığı, WebGPU standardının açık kaynaklı ve platformlar arası uygulaması olan Dawn'da yüksek önem derecesine sahip serbest kullanım sonrası kullanım sorunu olan CVE-2024-2885'tir.
Bu hata, 11 Mart 2024'te Fuzz olarak bilinen bir kuruluş tarafından bildirildi.
Bu güvenlik açığının ciddiyeti, potansiyel riskleri azaltmak için zamanında güncellemelerin önemini vurgulamaktadır.
Ancak dikkatler, Pwn2Own 2024 yarışması sırasında açıklanan iki yüksek önemdeki güvenlik açığı CVE-2024-2886 ve CVE-2024-2887 üzerinde parlıyor.
KAIST Hacking Lab'den Seunghyun Lee (@0x10n) tarafından bildirilen CVE-2024-2886, verimli medya içeriği kodlama ve kod çözme için kritik bir bileşen olan WebCodecs'te ücretsiz olarak kullanılabilen bir güvenlik açığıdır.
Manfred Paul tarafından bildirilen CVE-2024-2887, web üzerinde yüksek performanslı uygulamalara olanak tanıyan yığın tabanlı bir sanal makine için ikili talimat formatı olan WebAssembly'de tür karışıklığı içeriyor.
Pwn2Own'daki bu keşifler, olayın potansiyel tehditleri kötü niyetli olarak kullanılmadan önce tespit etme ve azaltma konusundaki rolünü vurguluyor.
Devam Eden Güvenlik Çabaları
Google ayrıca, devam eden çabaları iç denetimler, bulanıklaştırma ve diğer girişimler aracılığıyla tespit edilen çeşitli düzeltmelere yol açan iç güvenlik ekibinin katkılarını da takdir etmektedir.
Şirketin AdresSanitizer, MemorySanitizer, UnDefinitionBehaviorSanitizer, Control Flow Integrity, libFuzzer ve AFL gibi araçları kullanması, güvenlik hatalarının tespit edilmesi ve giderilmesinde çok önemlidir.
Chrome kullanıcılarının bu güvenlik açıklarına karşı korunmaları için tarayıcılarını derhal güncellemeleri isteniyor.
Google, sürüm kanallarını değiştirmek veya yeni sorunları bildirmek isteyenler için yardım ve yaygın sorunlar hakkında bilgi edinme amaçlı kaynaklar ve bir topluluk yardım forumu sağlar.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & ikiitter.