Google, yılın başlangıcından bu yana vahşi doğada kullanılan ilk krom sıfır gün güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı.
Şirket, Salı günü yayınlanan bir güvenlik danışmanında, "Google, CVE-2024-0519 için bir istismarın vahşi doğada var olduğu raporlarının farkında." Dedi.
Şirket, istikrarlı masaüstü kanalındaki kullanıcılar için sıfır gününü düzeltti, yamalı sürümler dünya çapında Windows (120.6099.2224/225), MAC (120.0.6099.234) ve Linux (120.0.6099.224) kullanıcılara bir haftadan daha az kullanıcılara yayıldı. Google'a bildirildikten sonra.
Google, güvenlik güncellemesinin etkilenen tüm kullanıcılara ulaşmak için günler veya haftalar sürebileceğini söylemesine rağmen, BleepingComputer bugün güncellemeleri kontrol ettiğinde hemen kullanılabilir.
Web tarayıcısını manuel olarak güncellememeyi tercih edenler, yeni güncellemeleri otomatik olarak kontrol etmek ve bir sonraki lansmandan sonra yüklemek için Chrome'a güvenebilirler.
Yüksek şiddetli sıfır günlük güvenlik açığı (CVE-2024-0519), saldırganların bellek için verilere erişim elde edebileceği Chrome V8 JavaScript motorundaki yüksek şiddetli bir bellek erişim zayıflığından kaynaklanmaktadır. tampon, hassas bilgilere erişim veya bir kazayı tetiklemelerini sağlar.
"Beklenen nöbetçi, sınır dışı bellekte bulunmayabilir, aşırı verilerin okunmasına neden olur, bir segmentasyon hatasına veya tampon taşmasına yol açar." "Ürün bir dizin değiştirebilir veya tamponun sınırlarının dışında bir bellek konumuna başvuran işaretçi aritmetiği gerçekleştirebilir. Sonraki bir okuma işlemi daha sonra tanımsız veya beklenmedik sonuçlar üretir."
Boundsed belleğe yetkisiz erişimin yanı sıra, CVE-2024-0519, başka bir zayıflık yoluyla kod yürütülmesini kolaylaştırmak için ASLR gibi koruma mekanizmalarını atlamak için de kullanılabilir.
Google, saldırılarda kullanılan CVE-2024-0519 sıfır gün istismarlarını biliyor olsa da, şirket bu olaylarla ilgili daha fazla ayrıntı henüz paylaşmamıştır.
Google, "Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir." Dedi. Diyerek şöyle devam etti: "Diğer projelerin benzer şekilde bağımlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız."
Bugün, Google ayrıca V8'in sınırsız yazma (CVE-2024-0517) ve tip karışıklığı (CVE-2024-0518) kusurlarını yamaladı ve uzlaşmış cihazlarda keyfi kod yürütülmesine izin verdi.
Geçen yıl Google, CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023- 4762, CVE-2023-2136 ve CVE-2023-2033.
CVE-2023-4762 gibi bazıları, şirketin yamalar yayınlamasından birkaç hafta sonra gazeteciler, muhalefet politikacıları ve muhalifler de dahil olmak üzere yüksek riskli kullanıcılara ait savunmasız cihazlara casus yazılım dağıtmak için kullanılan sıfır günler olarak etiketlendi.
Google Chrome Acil Durum Güncellemesi, 2023'te 7. Zero Day'i Düzeltiyor
Google: Kötü amaçlı yazılım kötüye kullanma API'si bir API sorunu değil, standart jeton hırsızlığıdır
Kötü amaçlı yazılım, Google OAuth son noktasını 'canlandırmaya', kurabiyeleri 'canlandırmak için kötüye kullanır
Google Chrome artık arka planda uzlaşmış şifreler için tarıyor
Google, bu yıl saldırılarda 8. krom sıfır gün sömürülüyor
Kaynak: Bleeping Computer