Google, Chrome tarayıcısı için, vahşi doğada sömürülen sıfır günlük bir kusur da dahil olmak üzere bir düzine güvenlik açığını ele alan bir güvenlik güncellemesi yayınladı.
Güvenlik güncellemesi şu anda Windows, Mac ve Linux için piyasaya sürülüyor. Otomatik güncellemeleri açan kullanıcılar önümüzdeki günlerde/haftalarda almalıdır.
Google, çok sayıda Chrome kullanıcısı güvenlik güncellemesini uygulayana kadar düzelttikleri sıfır gün güvenlik açıkları hakkında genellikle birçok teknik ayrıntı sağlamaz.
En sonuncusu CVE-2022-2856 olarak izlenir ve “niyetlere güvenilmeyen girdilerin yetersiz doğrulanması” nedeniyle, uygulamaların ve web hizmetlerinin doğrudan bir web sayfasından başlatılmasını sağlayan bir özellik nedeniyle yüksek şiddetli bir güvenlik sorunu olarak tanımlanır.
Yazılımdaki kötü giriş validasyonu, korumaları geçersiz kılmak veya amaçlanan işlevselliğin kapsamını aşmak için bir yol görevi görebilir, potansiyel olarak tampon taşması, dizin geçiş, SQL enjeksiyonu, siteler arası komut dosyası, boş bayt enjeksiyonu ve daha fazlasına yol açar.
Güvenlik açığı, Google Tehdit Analiz Grubu'nun (TAG) her iki üyesi olan Ashley Shen ve Christian Resell tarafından keşfedildi ve bildirildi.
“Google, CVE-2022-2856 için bir istismarın vahşi doğada var olduğunun farkında,” diye açıklıyor dün yayınlanan güvenlik danışmanlığında.
Mevcut Chrome güncellemesi, bu yıl Google Chrome'da tehdit aktörleri tarafından aktif olarak kullanılmayan beşinci sıfır günlük güvenlik açığını ele alıyor:
Önceki dördü:
Şimdi güncellemeyi gerçekleştirmek için tarayıcının ayarlarına gidin, “Chrome Hakkında” seçin ve kullanılabilir güncellemeler için tarayıcının dahili denetleyicisinin taramasına izin verin. İndirme tamamlandıktan sonra, güvenlik güncellemesini uygulamak için programı yeniden başlatın.
En son Google Chrome güncellemesi, tehdit aktörleri tarafından zaten kullanılmış bir kusuru düzelttiğinden, tarayıcının en son sürümüne mümkün olan en kısa sürede geçiş yapılması önerilir.
Chrome Zero-Day, gazetecileri Candiru Spyware ile enfekte etmek için kullanılır
Google, saldırılarda sömürülen yeni krom sıfır gün kusurları
Twitter, 5.4 milyon hesaptan verilen verileri ortaya çıkarmak için kullanılan sıfır gününü onaylar
Jenkins, birden fazla eklentide düzinelerce sıfır günlük hatayı açıklar
Apple, saldırılarda kullanılan sıfır gün hatasını düzeltmek için Safari 15.6.1'i serbest bırakır
Kaynak: Bleeping Computer