Google, saldırganların yaygın olarak kullandığı yeni bir Chrome sıfır-gün açığını (CVE-2024-7971) düzeltti.
CVE-2024-7971 Hakkında
CVE-2024-7971, Google’ın Chromium ve Google Chrome web tarayıcıları için geliştirdiği açık kaynaklı JavaScript ve WebAssembly motoru olan V8’deki bir tür karışıklığı zayıflığından kaynaklanan yüksek öneme sahip bir güvenlik açığıdır.
Mitre, “C ve C++ gibi bellek güvenliği olmayan dillerde, tür karışıklığı sınır dışı bellek erişimine yol açabilir” diye açıklıyor sorunu. (V8, C++ ile yazılmıştır.)
Google her zamanki gibi hata ayrıntılarına ve bağlantılara erişim sağlamadı; çoğu kullanıcı bir düzeltmeyle güncellenene kadar bekleyecek. Güvenlik açığının NVD girdisi, kusurun “uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasını istismar etmesine izin verdiğini” söylüyor.
Güvenlik açığı, muhtemelen saldırıları keşfettikten sonra Microsoft Tehdit İstihbarat Merkezi (MSTIC) ve Microsoft Güvenlik Yanıt Merkezi (MSRC) tarafından bildirildi.
CVE-2024-7971’i düzeltme
Google, CVE-2024-7971’i düzeltti ve Chrome v128.0.6613.84/.85 (Windows ve Mac için) ve v128.0.6613.84’te (Linux) 37 ek güvenlik düzeltmesi sundu.
Otomatik güncelleme seçeneği açık değilse, kullanıcıların Chrome kurulumlarını yükseltmeleri önerilir.
V8’deki güvenlik açıklarına yönelik düzeltmeler genellikle Microsoft’un Edge tarayıcısına hızla yayılır, çünkü tarayıcı Chromium ekibi tarafından geliştirilen Blink ve V8 motorlarını kullanır. Şirket Çarşamba günü “Bir güvenlik düzeltmesi yayınlamak için aktif olarak çalışıyoruz” dedi.
Diğer Chromium tabanlı tarayıcıların (örneğin Brave, Opera ve Vivaldi) da yakında düzeltmeleri uygulaması bekleniyor.
V8’de 0 günlükleri arıyorum
CVE-2024-7971, bu yıl düzeltilen dokuzuncu aktif olarak istismar edilen Chrome sıfır-gün hatası ve V8 motorundaki üçüncü tür karışıklık hatasıdır.
Google, 2023’ün sonlarında hata avcılarını sıfır günlük kusurlar için V8 motorunu incelemeye ve bunları bildirmeye, ayrıca n günlük ve 0 günlük güvenlik açıklarını istismar etmeye çalışan exploit yazarlarını çağırdı. Hem sıfır günlük hem de exploitler için ödüller teklif edildi.
Ne yazık ki saldırganlar aynı zamanda sıfır-günleri de arıyorlar.