Bugün Google, saldırılarda kullanıldığı gibi etiketlenen sıfır gün güvenlik açığını yamalamak için yeni bir Chrome Acil Güvenlik Güncellemesi yayınladı.
Şirket Çarşamba günü yayınlanan bir danışmanda "Google, CVE-2024-7971 için bir istismarın vahşi doğada var olduğunun farkında." Dedi.
Bu yüksek şiddetli sıfır günlük güvenlik açığı, Chrome'un V8 JavaScript motorundaki bir tip karışıklık zayıflığından kaynaklanır. Microsoft Tehdit İstihbarat Merkezi (MSTIC) ve Microsoft Güvenlik Müdahale Merkezi (MSRC) ile güvenlik araştırmacıları Pazartesi günü bildirdi.
Bu tür güvenlik kusurları genellikle, hafızaya ayrılan veriler farklı bir tür olarak yorumlandıktan sonra saldırganların tarayıcı çökmelerini tetiklemesini sağlayabilse de, bunları, eşleştirilmemiş tarayıcılar çalıştıran hedefli cihazlarda keyfi kod yürütme için kullanabilirler.
Google, Windows/MacOS için 128.0.6613.84/.85 ve 128.0.6613.84 (Linux) ile önümüzdeki haftalarda kararlı masaüstü kanalındaki tüm kullanıcılara yayılacak sürümlerle sıfır gününü düzeltti.
Güvenlik yamaları kullanılabilir olduğunda Chrome otomatik olarak güncellenirken, kullanıcılar Google Chrome hakkında Chrome Menüsü> Yardım> 'a giderek, güncellemeye izin vererek ve yüklemek için' Yeniden Başlat 'düğmesini tıklayarak işlemi de hızlandırabilir.
Bugünkü güncelleme, BleepingComputer bugün yeni güncellemeler aradığında hemen mevcuttu.
Google, CVE-2024-7971 güvenlik açığının saldırılarda kullanıldığını doğrulamasına rağmen, şirket henüz vahşi sömürü ile ilgili ek bilgileri paylaşmamıştır.
Google, "Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir." Dedi.
Diyerek şöyle devam etti: "Diğer projelerin benzer şekilde bağımlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız."
CVE-2024-7971, 2024'te Google tarafından yamalanan dokuzuncu krom sıfır gündür, ya vahşi doğada veya PWN2OWN Hacking yarışmasında:
Yeni Windows Smartscreen Bypass Mart ayından bu yana sıfır gün olarak sömürüldü
Microsoft Ağustos 2024 Patch Salı 9 sıfır gün, 6 sömürü düzeltiyor
Windows MSHTML Sıfır Yazma Saldırılarında Bir Yıldan Boy Kullanılan Sıfır Gün
Bilgisayar korsanları Litespeed Cache eklentisinde kritik hatayı kullanıyor
Qilin Fidye Yazılımları artık Chrome Tarayıcılardan Kimlik Bilgileri Çalıyor
Kaynak: Bleeping Computer