18 Nisan 2023’te Google, Chrome Masaüstü sürümleri için, aktif olarak yararlanılan ikinci Chrome sıfır gün güvenlik açığı için güvenlik güncellemelerini içeren yeni bir güncelleme yayınladı.
CVE-2023-2136, tehdit aktörlerinin artık vahşi ortamda istismar ettiği bir tamsayı taşması hatasıdır.
Google kısa bir süre önce bu yılın ilk Chrome sıfır günü için bir güncelleme yayınladı. Bir hafta sonra, ikinci sıfır gün keşfedildi, düzeltildi ve aynı yamayı yayınladı.
Kararlı Güncelleme Kanal Sürümü
Google, aşağıdaki platformlarda Chrome’un sabit bir sürümünü yayınladı.
- Windows sürümü: 112.0.5615.137/138
- Mac sürümü: 112.0.5615.137
- Linux sürümü: 112.0.5615.165
Google’ın Tehdit Analiz Grubu’nda (TAG) çalışan Clément Lecigne, 11 Nisan 2023’te Google’ın ilk sıfır gününü bildirdi.
İkinci sıfır günü, ilk sıfır günden bir gün önce, 12 Nisan 2023’te bildirdi.
Yamalı sürüm, Google tarafından belirtildiği gibi ezici bir 8 hata düzeltmesiyle birlikte gelir.
- Yüksek CVE-2023-2133: Service Worker API’de sınırların dışında bellek erişimi. 30.03.2023 tarihinde VRI’den Rong Jian tarafından bildirildi.
- Yüksek CVE-2023-2134: Service Worker API’de sınırların dışında bellek erişimi. 30.03.2023 tarihinde VRI’den Rong Jian tarafından bildirildi.
- Yüksek CVE-2023-2135: DevTools’ta serbest kaldıktan sonra kullanın. Cassidy Kim(@cassidy6564) tarafından 2023-03-14 tarihinde bildirildi.
- Yüksek CVE-2023-2136: içinde tamsayı taşması Kayak yapma. Google’ın Tehdit Analizi Grubundan Clément Lecigne tarafından 2023-04-12 tarihinde bildirildi (Vahşi doğada istismar).
- Orta CVE-2023-2137: SQLite’ta yığın arabelleği taşması. 360 Güvenlik Açığı Araştırma Enstitüsü’nden Nan Wang(@eternalsakura13) ve Guang Gong tarafından 2023-04-05 tarihinde bildirildi.
Yukarıdaki güvenlik araştırmacıları için 3000$ ile 8000$ arasında değişen ödüller verildi. Google, bu güvenlik açığıyla ilgili başka herhangi bir ayrıntı yayınlamadı.
“Google, vahşi ortamda CVE-2023-2136 için bir istismar olduğunun farkında. Hata ayrıntılarına ve bağlantılara erişim çoğu zaman kısıtlanabilir. kullanıcılar bir düzeltme ile güncellenir.
Hata, diğer projelerin benzer şekilde bağımlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında bulunuyorsa da kısıtlamaları sürdüreceğiz.Google Diyor.
Bu yeni sıfır gün, çoğu web geliştiricisinin harika yüksek kaliteli web deneyimleri ve grafikleri oluşturmak için kullandığı bir 2-D Graphics kitaplığı olan Skia’da kullanılıyor.
Şimdi güncelle
Aktif olarak istismar edilen güvenlik sorununu ele almak için, Chrome’u en son sürüme manuel olarak güncelleme işlemini başlatmak için izlemeniz gereken adımlar şunlardır:-
- Öncelikle sağ üst köşedeki Chrome ayarları menüsünü açın.
- Ardından “Yardım” seçeneğini seçmelisiniz.
- Şimdi “Google Chrome Hakkında” seçeneğini seçin.
- Şimdi, Chrome’unuz mevcut en son güncellemeyi kontrol edecek ve indirecektir.
Bu nedenle, daha fazla istismarı önlemek için, kullanıcıların mevcut güncellemeyi mümkün olur olmaz uygulamaları şiddetle tavsiye edilir.
Google, kullanıcılarından Chrome sürümünü bir an önce güncellemelerini istedi.
Hepsi Bir Arada Çoklu İşletim Sistemi Yama Yönetimi Platformu Arıyor – Patch Manager Plus’ı Deneyin