Google, yılın başlangıcından beri sekizinci yamalı olan Vahşi doğada kullanılmayan başka bir Chrome sıfır günü güvenlik açığını düzeltmek için acil durum güncellemeleri yayınladı.
Çarşamba günü yayınlandı.
Şirket, istikrarlı masaüstü kanalındaki kullanıcılar için sıfır gün hatasını düzeltti ve yamalı sürümler dünya çapında Windows kullanıcılarına (120.6099.129/130) ve Mac ve Linux kullanıcılarına (120.0.6099.129) Google'a bildirildikten bir gün sonra piyasaya sürüldü.
Hata, birincil hedefi Google müşterilerini devlet destekli saldırılardan korumak olan güvenlik uzmanlarından oluşan bir kolektif olan Google'ın Tehdit Analiz Grubu'ndan (TAG) Clément Lecigne ve Vlad Stolyarov tarafından keşfedildi ve bildirildi.
Google'ın Tehdit Analiz Grubu (TAG), muhalefet politikacıları, muhalifler ve gazeteciler de dahil olmak üzere yüksek riskli bireylerin cihazlarına casus yazılım kullanmayı amaçlayan hedefe yönelik saldırılarda hükümet destekli tehdit aktörleri tarafından kullanılan sıfır gün hatalarını sık sık keşfeder.
Güvenlik güncellemesinin tüm kullanıcılara ulaşmak için günler veya haftalar sürebilmesine rağmen, Google'a göre, BleepingComputer bugün güncellemeleri kontrol ettiğinde hemen mevcuttu.
Manuel olarak güncellememeyi tercih eden bireyler, otomatik olarak yeni güncellemeleri kontrol etmek ve bir sonraki lansmana yüklemek için web tarayıcısına güvenebilir.
Yüksek şiddetli sıfır günlük güvenlik açığı (CVE-2023-7024), Mozilla Firefox, Safari ve Microsoft Edge gibi diğer birçok web tarayıcısında, açık kaynaklı WebRTC çerçevesinde bir yığın tamponu taşma zayıflığından kaynaklanmaktadır. JavaScript API'leri aracılığıyla zaman iletişimi (RTC) özellikleri (örn. Video akışı, dosya paylaşımı ve VoIP telefonu).
Google, CVE-2023-7024'ün vahşi doğada sıfır gün olarak kullanılacağını biliyor olsa da, bu olaylarla ilgili daha fazla ayrıntı paylaşmadı.
Google, "Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir." Dedi.
Diyerek şöyle devam etti: "Diğer projelerin benzer şekilde bağımlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız."
Bu, tehdit aktörlerinin kendi CVE-2023-7024 istismarlarını geliştirme olasılığını azaltmayı amaçlamaktadır.
Daha önce Google, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 ve CVE-2023-2033.
CVE-2023-4762 gibi bazıları, şirketin yamalar yayınladıktan haftalar sonra casus yazılımları dağıtmak için kullanılan sıfır gün hataları olarak etiketlendi.
Google Chrome Acil Durum Güncellemesi, 2023'te 7. Zero Day'i Düzeltiyor
Sahte F5 Big-IP Zero Gün Uyarı E-postaları Veri Silinicileri İttirin
Microsoft Aralık 2023 Patch Salı 34 Kusur, 1 Sıfır Gün
Apple Acil Durum Güncellemeleri Eski iPhone'larda son sıfır günleri düzeltin
Microsoft, Nisan 2022'den bu yana Rus hackerlar tarafından kullanılan Outlook Zero Day'i düzeltiyor
Kaynak: Bleeping Computer