Bugün Google, hack yarışmaları sırasında saldırganlar veya güvenlik araştırmacıları tarafından vahşi doğada sömürülen onuncu sıfır gününü yamaladığını açıkladı.
CVE-2024-7965 olarak izlenen ve yalnızca thedog olarak bilinen bir güvenlik araştırmacısı tarafından bildirilen, şimdi paketlenmiş yüksek şiddetli güvenlik açığı, tam zamanında oluşturulacak talimatları seçerken derleyici arka ucundaki bir hata neden olur (JIT) derleme.
Google, güvenlik açığını Google Chrome'un V8 JavaScript motorunda, uzak saldırganların hazırlanmış bir HTML sayfası aracılığıyla yığın yolsuzluğunu kullanmasına izin verebilecek uygunsuz bir uygulama olarak tanımlar.
Bu, şirketin geçen hafta V8 tipi karışıklık zayıflığının neden olduğu başka bir yüksek şiddetli sıfır günlük güvenlik açığını (CVE-2024-7971) sabitlediğini açıkladığı bir blog yayınına yapılan bir güncellemede ilan edildi.
Şirket, "Bu sürümden sonra bildirilen CVE-2024-7965'in vahşi sömürüsünü yansıtmak için 26 Ağustos 2024'te güncellendi." Dedi. "Google, CVE-2024-7971 ve CVE-2024-7965 için istismarların vahşi doğada bulunduğunun farkında."
Google, Çarşamba gününden bu yana kararlı masaüstü kanalındaki tüm kullanıcılara piyasaya sürülen Windows/MacOS sistemleri için 128.0.6613.84/.85 ve sürüm 128.0.6613.84 Linux kullanıcılarında her iki sıfır gününü düzeltti.
Güvenlik yamaları mevcut olduğunda Chrome otomatik olarak güncellenecek olsa da, bu işlemi de hızlandırabilir ve Google Chrome hakkında Chrome Menü> Yardım> 'a, güncellemeye izin vererek ve' Yeniden Başlat 'düğmesini tıklayarak güncellemeleri manuel olarak uygulayabilirsiniz. yükleyin.
Google, CVE-2024-7971 ve CVE-2024-7965 güvenlik açıklarının vahşi doğada kullanıldığını doğrulasa da, bu saldırılarla ilgili daha fazla bilgi paylaşmadı.
Google, "Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir." Diyor.
Diyerek şöyle devam etti: "Diğer projelerin benzer şekilde bağımlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız."
Yılın başlangıcından bu yana Google, saldırılarda veya PWN2OWN Hacking yarışmasında kullanıldığı gibi etiketlenen sekiz sıfır gün daha yamaladı:
Google, bu yıl kullanıldığı gibi etiketlenen dokuzuncu chrome sıfır gün
Çin Volt Typhoon Hackers, ISP'leri ihlal etmek için Versa Zero Day'den sömürüldü, MSP'ler
Yeni Windows Smartscreen Bypass Mart ayından bu yana sıfır gün olarak sömürüldü
Microsoft Ağustos 2024 Patch Salı 9 sıfır gün, 6 sömürü düzeltiyor
Windows MSHTML Sıfır Yazma Saldırılarında Bir Yıldan Boy Kullanılan Sıfır Gün
Kaynak: Bleeping Computer