Google, saldırılarda kullanıldığı gibi etiketlenen yüksek şiddetli sıfır gün güvenlik açığını ele almak için Chrome tarayıcısının acil güvenlik güncellemeleri yayınladı.
Bu düzeltme, Google'ın görsel bileşendeki kullanımdan sonraki kullanımsız bir zayıflığın neden olduğu Chrome, CVE-2024-4671'deki başka bir sıfır günlük güvenlik açığına değinmesinden sadece üç gün sonra gelir.
En son hata CVE-2024-4761 olarak izlenir. Uygulamada JS kodunu yürütmekten sorumlu olan Chrome’un V8 JavaScript motorunu etkileyen sınır dışı bir yazma sorunudur.
Bir programın belirtilen dizi veya arabellek dışına veri yazmasına izin verildiğinde, potansiyel olarak yetkisiz veri erişimine, keyfi kod yürütülmesine veya program çökmesine yol açtığında, sınır dışı yazma sorunları meydana gelir.
“Google, CVE-2024-4761 için bir istismarın vahşi doğada bulunduğunun farkında” diyor.
Şirket, Mac/Windows için 124.0.6367.207/.208 ve Linux için 124.0.6367.207 sürümü ile güvenlik kusurunu düzeltti. Güncellemeler önümüzdeki günler/haftalarda tüm kullanıcılara sunulacak.
"Genişletilmiş kararlı" kanal kullanıcıları için düzeltmeler Mac ve Windows için 124.0.6367.207 sürümünde sunulacaktır.
Bir güvenlik güncellemesi mevcut olduğunda Chrome otomatik olarak güncellenir, ancak kullanıcılar Chrome hakkında ayarlara> Gidip Güncelleme Bitişine izin vererek ve ardından "Yeniden Başlat" düğmesine tıklayarak en son sürümü çalıştırdıklarını onaylayabilir.
Bu son Google Chrome güvenlik açığı, yılın başından beri popüler web tarayıcısında keşfedilen ve sabitlenen altıncı sıfır gün hatasıdır.
Şirket, anonim bir araştırmacının 9 Mayıs 2024'te kusuru bildirdiğini, ancak şu anda başka bir ayrıntı açıklanmadığını belirtiyor.
“Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir. Ayrıca, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız ”dedi.
Şimdiye kadar 2024'te sabitlenen krom sıfır gün kusurları şunları içerir:
Google, bu yıl saldırılarda sömürülen beşinci krom sıfır gün
D-Link Exo AX4800 yönlendiriciler
Microsoft, Qakbot kötü amaçlı yazılım saldırılarında Windows Zero Day'i düzeltiyor
Eski iPhone'lara yapılan saldırılarda sıfır gün için elma backports düzeltme
SMS saldırısına açık endüstriyel IoT cihazlarında yaygın olarak kullanılan modemler
Kaynak: Bleeping Computer