Google, hackerların bu yıl kullandığı üçüncü sıfır gün güvenlik açığını ele almak için Chrome Web tarayıcısı için bir güvenlik güncellemesi yayınladı.
Güvenlik bültenini, "Google, CVE-2023-3079 için bir istismarın vahşi doğada var olduğunun farkında."
Şirket, istismarın nasıl kullanıldığı ve saldırılarda nasıl kullanıldığı, bilgileri kusurun ciddiyetiyle ve tipiyle sınırlandırmadığı hakkında ayrıntılar yayınlamamıştır.
Yeni bir güvenlik sorunu bulunduğunda teknik bilgilerin stopajı Google'ın olağan duruşudur. Bu, rakipler detayları ek istismarlar geliştirmek için kullanabildiğinden, kullanıcıları birçoğu versiyona taşınana kadar korumak içindir.
"Hata detaylarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir. Ayrıca, hatanın diğer projelerin benzer şekilde bağımlı olduğu ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa kısıtlamaları da koruyacağız" - Google
CVE-2023-3079'un yüksek bir sorun olduğu değerlendirildi ve Google'ın araştırmacısı Clément Lecigne tarafından 1 Haziran 2023'te keşfedildi ve Chrome'un JavaScript motoru, tarayıcı içinde kod yürütmekle görevli bir tür karışıklığı.
Motor çalışma zamanı boyunca bir nesnenin türünü yanlış yorumladığında, potansiyel olarak kötü niyetli bellek manipülasyonuna ve keyfi kod yürütülmesine yol açtığında.
Google'ın bu yıl Chrome'da sabitlediği ilk sıfır gün güvenlik açığı, aynı zamanda V8 JavaScript motorunda bir tür karışıklık hatası olan CVE-2023-2033'tür.
Birkaç gün sonra Google, tarayıcının 2D Grafik Kütüphanesi SKIA'yı etkileyen aktif olarak sömürülen bir güvenlik açığı olan Chrome to CVE-2023-2136'ya yamaya acil durum güvenlik güncellemesi yayınladı.
Sıfır gün güvenlik açıkları genellikle, öncelikle hükümet, medya veya diğer hayati kuruluşlardaki yüksek profilli figürlere yönelik sofistike devlet destekli tehdit aktörleri tarafından kullanılmaktadır. Bu nedenle, tüm Chrome kullanıcılarının mevcut güvenlik güncellemesini mümkün olan en kısa sürede yüklemesi şiddetle tavsiye edilir.
En son Chrome sürümü, yeni bir sıfır günün sabitlenmesinin yanı sıra, iç denetimlerden ve kod bulanık analizinden keşfedilen çeşitli sorunları ele alıyor.
Google, güncellemenin önümüzdeki günlerde/haftalarda piyasaya sürüleceğini söylüyor, bu nedenle herkese aynı anda ulaşamayacak kademeli bir dağıtım.
Chrome güncelleme prosedürünü, aktif olarak sömürülen güvenlik sorununu ele alan en son sürüme manuel olarak başlatmak için Chrome Ayarları menüsüne (sağ üst köşe) gidin ve Google Chrome hakkında Yardım → Seçin.
Güncellemeyi tamamlamak için uygulamanın yeniden başlatılması gerekir.
Kullanılabilir güvenlik güncellemeleri, tarayıcı bir sonraki kullanıcı müdahalesi olmadan başladığında otomatik olarak yüklenir, bu nedenle en son sürümü çalıştırdığınızdan emin olmak için "Hakkında" sayfasını kontrol edin.
Vahşi doğada istismar olan kusuru ele alan yeni kararlı kanal sürümü, Windows için 114.0.5735.110 ve Mac ve Linux için 114.0.5735.106 sürümüdür.
Google, aktif olarak sömürülen başka bir krom sıfır gün
Android Güvenlik Güncellemesi Mali GPU hatasını sıfır gün olarak sömürdü
Bilgisayar korsanları aktif olarak kritik RCE hatasını kağıtkut sunucularında kullanır
Google Chrome Acil Durum Güncellemesi 2023'ün ilk sıfır gününü düzeltiyor
Cisco, AnyConnect VPN sıfır gününü açıklar, mevcut kod kod
Kaynak: Bleeping Computer