Chrome’un artık haftalık güvenlik güncellemelerinin ilki beş güvenlik açığını gideriyor.
Google, Chrome tarayıcısının ilk haftalık güncellemesine ilişkin ayrıntıları yayınladı. Geçtiğimiz günlerde Google, Stabil kanalı (çoğumuzun kullandığı sürüm) için haftalık güvenlik güncellemeleri yayınlamaya başlayacağını duyurdu. Düzenli Chrome sürümleri yine dört haftada bir gelmeye devam edecek, ancak güvenlik düzeltmelerinin daha hızlı gerçekleştirilmesi için güvenlik ve diğer önemli hatalara yönelik güncellemeler haftalık olarak planlanacak.
Bu aynı zamanda Chome sürüm döngüsündeki yama boşluğunun azaltılmasına da yardımcı olacaktır. Bir Chrome güvenlik hatası düzeltildiğinde düzeltme, genel Chromium kaynak kodu deposuna eklenir. Düzeltme daha sonra Kararlı Kanal’a gitmeden önce test edilir ve değerlendirilir. Boşluk, yamanın Chromium deposunda görünmesi ile Kararlı kanal güncellemesiyle gönderilmesi arasındaki süredir.
En son güncelleme beş güvenlik açığına yönelik düzeltmeler içeriyor. Bu güvenlik açıklarından dördü Yüksek önemde, biri ise Orta önemde sınıflandırılmıştır. Tüm bu güvenlik açıkları, 1 Ağustos ile 7 Ağustos 2023 tarihleri arasında harici araştırmacılar tarafından rapor edildi.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güncellemelerde yamalı CVE’ler şunlardır:
CVE-2023-4430, 116.0.5845.110’dan önce Google Chrome’da Vulkan’da bulunan ve uzak bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına olanak tanıyan bir ücretsiz kullanımdan sonra (UAF) güvenlik açığı. Vulkan, PC’lerden akıllı telefonlara kadar çok çeşitli cihazlarda kullanılan modern GPU’lara (grafik işlem birimleri) yüksek verimli, düşük seviyeli erişim sağlayan, modern bir platformlar arası grafik ve hesaplama API’sidir (uygulama programlama arayüzü).
UAF, bir programın çalışması sırasında dinamik belleğin yanlış kullanılması sonucu ortaya çıkan bir tür güvenlik açığıdır. Bellek konumunu serbest bıraktıktan sonra program bu belleğin işaretçisini temizlemezse, saldırgan programı değiştirmek için hatayı kullanabilir.
Bir program, programa ayrılan belleğin dışındaki bir bellek konumunun içeriğini değiştirdiğinde yığın bozulması oluşur.
CVE-2023-4429, ücretsiz güvenlik açığından sonra başka bir kullanımdır; bu kez 116.0.5845.110’dan önce Google Chrome’daki Loader’dadır; bu, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak yığın bozulmasından yararlanmasına olanak tanır.
CVE-2023-4428, 116.0.5845.110 öncesinde Google Chrome’da CSS’de sınır dışı bellek erişimi olup, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla sınır dışı bellek okuması gerçekleştirmesine olanak tanır.
Sınırların dışında bir yazma veya okuma kusuru, belleğin daha kritik işlevlere ayrılmış bölümlerinin değiştirilmesini mümkün kılar.
CVE-2023-4427, 116.0.5845.110 öncesinde Google Chrome’da bulunan, Google’ın açık kaynaklı JavaScript motoru V8’de bulunan ve uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla sınır dışı bellek okuması gerçekleştirmesine olanak tanıyan bir sınır dışı bellek erişimidir.
CVE-2023-4431, Orta önem düzeyinde listelenen güvenlik açığıdır. Bu, 116.0.5845.110 öncesinde Google Chrome’daki Fonts’ta bulunan, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla sınır dışı bellek okuması gerçekleştirmesine olanak tanıyan, sınır dışı bellek erişimi güvenlik açığıdır.
Kendinizi nasıl korursunuz?
Windows, Mac veya Linux kullanan bir Chrome kullanıcısıysanız, ilk fırsatta 116.0.5845.110/.111 sürümüne güncellemelisiniz.
Chrome’u güncellemenin en kolay yolu, otomatik olarak güncellenmesine izin vermektir; bu, temelde aşağıda özetlenen yöntemin aynısını kullanır ancak sizin ilgilenmenizi gerektirmez. Ancak tarayıcıyı hiç kapatmazsanız veya bir şeyler ters giderse (örneğin, bir uzantının tarayıcınızı güncellemenizi engellemesi gibi) geride kalabilirsiniz.
Bu yüzden ara sıra kontrol etmekten zarar gelmez. Bu gruptaki güvenlik açıklarının ciddiyeti göz önüne alındığında, şimdi iyi bir zaman olabilir. Tercih ettiğim yöntem, Chrome’un, tıklayarak da bulabileceğiniz chrome://settings/help sayfasını açmasını sağlamaktır. Ayarlar > Chrome Hakkında.
Bir güncelleme mevcutsa Chrome sizi bilgilendirecek ve indirmeye başlayacaktır. O zaman tek yapmanız gereken yeniden başlatmak Güncellemenin tamamlanması için tarayıcı.
Google Chrome güncel
Güncellemeden sonra sürümünüz Mac ve Linux için 116.0.5845.110, Windows için 116.0.5845.111 veya üzeri olmalıdır.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.