Google, Chrome tarayıcısı için, veri hırsızlığına, yanal harekete, kötü amaçlı yazılım yerleştirmeye ve daha fazlasına yol açabilecek, serbest kullanım kodunu içeren sıfır gün güvenlik açığına yönelik bir yama da dahil olmak üzere bir acil durum güvenlik güncellemesi yayınladı.
Bu, Google’ın geçen hafta yamaladığı ikinci sıfır gün ve yıl içinde şu ana kadar altıncı gün.
En son güncelleme, sürüm 124.0.6367.207, Google’ın açık kaynak V8 JavaScript’inde ve WebAssembly motorunda (Chromium tarayıcılarını da etkileyen) yüksek önem derecesine sahip, sınır dışı bir yazma işlemi olan CVE-2024-4761 için bir yama içerir. Oluşturucu sürecini tehlikeye atan uzaktaki bir saldırganın, hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak sanal alandan kaçış (bu, tarayıcı sekmesinin ötesine geçerek diğer Web uygulamalarına veya ağa geçmek anlamına gelir) gerçekleştirmesine olanak tanır.
Bir istismar, “hafızanın daha kritik işlevlere ayrılmış kısımlarını manipüle etmeyi mümkün kılar” ve bir saldırganın, programın ve kullanıcının sahip olmaması gereken izinlerle yürütüleceği hafızanın bir kısmına kod yazmasına olanak tanır. ” Malwarebytes’e göre genel bakış hatanın.
Google, istismar kodunun mevcut olduğunu belirtti ancak aktif istismarın devam ettiğini söylemeden durdu.
Casey Ellis, Kurucu ve Baş Strateji Sorumlusu, “Bu güvenlik açığına yönelik vahşi doğada bir istismar mevcut ve Google, vahşi doğada aktif bir istismar görmediklerini öne sürerken, bir istismarın mevcut olması, bunun yakında başlayacağını gösteriyor.” Bugcrowd, e-postayla gönderilen bir bildiride şunu yazdı.
Bu arada, dört gün önce Google, 124.0.6367.201 sürümünden önce Google Chrome’daki Visuals’ta bulunan bir ücretsiz kullanım sonrası (UAF) hatası olan CVE-2024-4671’i yamaladı. Bu durum, yama yayınlanmadan önce vahşi ortamda istismar ediliyordu ve aynı zamanda oluşturucu sürecini tehlikeye atan uzaktaki bir saldırganın, hazırlanmış bir HTML sayfası aracılığıyla sanal alandan kaçış gerçekleştirme potansiyeline sahip olmasına da olanak tanıyor.
Malwarebytes’e göre “Sömürü, hedefin belirli, özel hazırlanmış bir web sayfasını açmasını sağlayarak mümkündür, bu nedenle güvenlik açığı, bir arabalı saldırı olarak istismar edilmeye uygundur.”
Her iki hata da sandbox’tan kaçmaya izin veriyor ve oluşturucu sürecinden ödün verilmesini gerektiriyor ancak ikisinin birbiriyle ilişkili olup olmadığı belli değil. Her zamanki gibi Google, her iki güvenlik açığıyla ilgili ayrıntılı bilgi vermeyi reddetti.
2024’ün Altıncı Chrome Sıfır Günü
Bu hafta açıklanan iki güvenlik açığı, Mart ayında Pwn2Own’da ortaya çıkarılan ve hâlihazırda istismar edilen diğer üç hatanın ardından geldi: CVE-2024-2887 (WebAssembly’de tür karışıklığı sorunu); CVE-2024-2886 (WebCodecs’te UAF sorunu); ve CVE-2024-3159 (V8’de sınırların dışında belleğe erişim).
Ve Ocak ayında Google, yılın ilk istismar edilen sıfır günü olan CVE-2024-0519’u yamaladı: Chrome JavaScript motorunda bir sınır dışı bellek erişimi hatası.
Buna karşılık, Google’ın bir parçası olan Mandiant, 2023’ün tamamı boyunca, yama öncesinde tehdit aktörleri tarafından toplam sekiz Chrome sıfır gününün kullanıldığını izledi; bu da sıfır gün istismarının yıldan yıla artan hacmine işaret ediyor. Bu, Mandiant’ın Mart ayındaki bulgularıyla örtüşüyor: %50 daha fazla sıfır gün güvenlik açığı 2023’te, 2022’ye kıyasla genel olarak vahşi doğada sömürülecek.
Raporda, bu istismarların çoğunluğunun, ulus devlet aktörlerinin veri hırsızlığı ve siber casusluk çabalarının peşinde olduğu ortaya çıktı.
Critical Start’taki Siber Tehdit Araştırması kıdemli yöneticisi Callie Günther, e-postayla gönderilen bir açıklamada, “Chrome’daki sıfır gün güvenlik açıklarının sık sık keşfedilmesi, önemli istihbarat sonuçları doğuruyor” dedi. “Bu güvenlik açıkları, devlet destekli gruplar da dahil olmak üzere tehdit aktörleri tarafından siber casusluk yapmak, hassas bilgileri çalmak ve hedefli saldırılar başlatmak için kullanılabilir.”
Veri ihlallerini ve daha fazlasını önlemek için kullanıcılar, sistemlerine yama uygulandığından emin olmalıdır. Kullanıcı tarayıcıyı kapatmadığı veya bir uzantı güncellemeyi engellemediği sürece Chrome otomatik olarak güncellenecektir. Güvenli tarafta olmak için kullanıcılar “ayarlar” ve ardından “Chrome hakkında” seçeneğini tıklayarak güncellemeyi manuel olarak başlatabilirler.
Güvenlik ekipleri, tüm Chrome yüklemelerinin derhal güncellendiğinden emin olmalıdır. Ek adımlar, tarayıcı izolasyonu ve korumalı alana alma gibi ek güvenlik önlemlerinin uygulanması olacaktır.
Ellis, “Ayrıntıları olmayan bir acil durum yaması temel olarak Google’ın en yüksek uyarı seviyesidir” dedi. “Chrome’un Gizli olmayan sekmeleri kaydedip yeniden açacağını tekrarlamakta fayda var; bu nedenle, yerinizi kaybetmek sizin veya tanıdığınız birinin bu yamayı uygulamasını engelliyorsa, gecikmemelisiniz.”
Veri ihlalleriyle başa çıkma ve bunların kuruluşlarınız için ne anlama geldiği hakkında daha fazla bilgi için “Veri İhlalinin Anatomisi: Başınıza Geldiğinde Ne Yapmalısınız?20 Haziran’da yapılması planlanan ücretsiz bir Dark Reading sanal etkinliği.