Google, bugün yayınlanan bir acil güvenlik güncellemesinde, saldırılarda devam eden sömürüye karşı koymak için bu yıl altıncı krom sıfır gün güvenlik açığını düzeltti.
Şirket, bugün yayınlanan yeni bir güvenlik danışmanında güvenlik kusuru (CVE-2023-6345 olarak izlenen) için bir istismarın varlığını kabul etti.
Şirket, "Google, CVE-2023-6345 için bir istismarın vahşi doğada bulunduğunun farkında." Dedi.
Güvenlik açığı, sabit masaüstü kanalında ele alınmıştır, yamalı sürümler küresel olarak Windows kullanıcılarına (119.0.6045.199/.200) ve Mac ve Linux kullanıcılarına (119.0.6045.199) yayılmaktadır.
Danışmanlık, güvenlik güncellemesinin tüm kullanıcı tabanına ulaşmak için günler veya haftalar sürebileceğini belirtmesine rağmen, BleepingComputer bugün daha önce güncellemeler için kontrol edildiğinde hemen mevcuttu.
Manuel olarak güncellemek istemeyen kullanıcılar, yeni güncellemeleri otomatik olarak kontrol etmek ve bir sonraki lansmandan sonra yüklemek için web tarayıcısına güvenebilir.
Bu yüksek şiddetli sıfır günlük güvenlik açığı, kayaklardan açık kaynaklı 2D grafik kütüphanesinde bir tamsayı taşma zayıflığından kaynaklanmaktadır ve kazalardan keyfi kodun yürütülmesine kadar değişen riskler poz (SKIA, Chromeos gibi diğer ürünler tarafından bir grafik motoru olarak da kullanılır, Android ve Flutter).
Hata 24 Kasım Cuma günü Google'ın Tehdit Analiz Grubu (TAG) ile iki güvenlik araştırmacısı olan Benoît Sevens ve Clément Lecigne tarafından bildirildi.
Google Tag, gazeteciler ve muhalefet politikacıları gibi yüksek profilli bireyleri hedefleyen casus yazılım kampanyalarında devlet destekli hack grupları tarafından genellikle sömürülen sıfır günleri ortaya çıkarmakla bilinir.
Şirket, çoğu kullanıcı tarayıcılarını güncelleyene kadar sıfır günün ayrıntılarına erişimin kısıtlı kalacağını belirtti. Kusur henüz yamalanmamış üçüncü taraf yazılımı da etkiliyorsa, hata ayrıntılarına ve bağlantılarına erişim sınırlaması genişletilecektir.
"Hata detaylarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir. Ayrıca, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız. "Dedi.
Bu, tehdit aktörlerinin kendi CVE-2023-6345 istismarlarını geliştirme olasılığını azaltmayı ve güvenlik açığı hakkında yeni yayınlanan teknik bilgilerden yararlanmayı amaçlamaktadır.
Eylül ayında Google, 2023'ün başından bu yana dördüncü ve beşinci olanlar olan saldırılarda sömürülen iki sıfır günü (CVE-2023-5217 ve CVE-2023-4863 olarak izlendi) daha sabitledi.
Daha önce, şirket CVE-2023-3079, CVE-2023-2136 ve CVE-2023-2033 için güvenlik güncellemeleri yayınladı. Google Tag ayrıca, Eylül ayı başında yamalandıktan haftalar sonra casus yazılım saldırılarında kullanımını keşfettikten sonra bir uzak kod yürütme hatasını (CVE-2023-4762) sıfır gün olarak etiketledi.
GÜNCELLEME: CVE-2023-6345'i yanlış etiketledikten sonra revize edilmiş hikaye, bu yıl beşinci aktif olarak krom sıfır gününü kullandı.
Google Chrome artık tüm kullanıcılar için bağlantıları güvence altına almak için otomatik olarak yükseltmeler
Google, Chrome'daki üçüncü taraf çerezleri engelleme planlarını paylaşıyor
Google: Hackerlar Govt Orgs'a yapılan saldırılarda Zimbra Zero Day'den yararlandı
Microsoft: Clop Fidye Yazılımı Saldırılarında Suro Sıralı Gün Kusurlu
Google Chrome'un yeni "IP koruması" kullanıcıların IP adreslerini gizleyecek
Kaynak: Bleeping Computer