Google, bugün yayınlanan bir acil güvenlik güncellemesinde, saldırılarda devam eden sömürüye karşı koymak için bu yıl beşinci krom sıfır gün güvenlik açığını düzeltti.
Şirket, bugün yayınlanan yeni bir güvenlik danışmanında güvenlik kusuru (CVE-2023-6345 olarak izlenen) için bir istismarın varlığını kabul etti.
Şirket, "Google, CVE-2023-6345 için bir istismarın vahşi doğada bulunduğunun farkında." Dedi.
Güvenlik açığı artık kararlı masaüstü kanalında ele alınmaktadır, yamalı sürümler küresel olarak Windows kullanıcılarına (119.0.6045.199/.200) ve Mac ve Linux kullanıcılarına (119.0.6045.199) yayılmaktadır.
Danışma, güvenlik güncellemesinin tüm kullanıcı tabanına ulaşmak için günler veya haftalar sürebileceğini söylese de, BleepingComputer bugün daha önce güncellemeler için kontrol ettiğinde hemen mevcuttu.
Web tarayıcısı, yeni güncellemeleri otomatik olarak kontrol edecek ve manuel olarak yapmak istemeyen kullanıcılar için bir sonraki lansmandan sonra yükleyecektir.
Bu yüksek şiddetli sıfır günlük güvenlik açığı, kayaklardan açık kaynaklı 2D grafik kütüphanesinde bir tamsayı taşma zayıflığından kaynaklanmaktadır ve kazalardan keyfi kodun yürütülmesine kadar değişen riskler poz (SKIA, Chromeos gibi diğer ürünler tarafından bir grafik motoru olarak da kullanılır, Android ve Flutter).
Hata 24 Kasım Cuma günü Google Tehdit Analiz Grubu (TAG) güvenlik araştırmacısı Clément Lecigne tarafından bildirildi.
Google Tag, gazeteciler ve muhalefet politikacıları gibi yüksek profilli bireyleri hedefleyen casus yazılım kampanyalarında devlet destekli hack grupları tarafından genellikle sömürülen sıfır günleri ortaya çıkarmakla bilinir.
Google, sıfır günün ayrıntılarına erişimin, çoğu kullanıcı tarayıcılarını güncelleyene kadar kısıtlı kalabileceğini, ancak kusurun henüz yamalı olmayan üçüncü taraf yazılımı tarafından kullanılan etkileri genişletilmesi sınırlaması ile sınırlı kalabileceğini söylüyor.
"Hata detaylarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir. Ayrıca, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız. "Dedi.
Bu, tehdit aktörlerinin kendi CVE-2023-6345 istismarlarını geliştirme olasılığını azaltmayı ve güvenlik açığı hakkında yeni yayınlanan teknik bilgilerden yararlanmayı amaçlamaktadır.
Eylül ayında Google, 2023'ün başlangıcından bu yana dördüncü ve beşinci olanlar olan saldırılarda sömürülen iki sıfır gün (CVE-2023-5217 ve CVE-2023-4863 olarak izlenmiştir) daha düzeltti.
Google Chrome artık tüm kullanıcılar için bağlantıları güvence altına almak için otomatik olarak yükseltmeler
Google, Chrome'daki üçüncü taraf çerezleri engelleme planlarını paylaşıyor
Google: Hackerlar Govt Orgs'a yapılan saldırılarda Zimbra Zero Day'den yararlandı
Microsoft: Clop Fidye Yazılımı Saldırılarında Suro Sıralı Gün Kusurlu
Google Chrome'un yeni "IP koruması" kullanıcıların IP adreslerini gizleyecek
Kaynak: Bleeping Computer