Google, saldırılarda kullanıldığı bilinen tek bir güvenlik açığını ele almak için Chrome masaüstü web tarayıcısının acil durum güvenlik güncellemesi yayınladı.
Yüksek şiddetli kusur (CVE-2022-3723), Avast'taki analistler tarafından keşfedilen ve Google'a bildirilen Chrome V8 JavaScript motorundaki tip bir karışıklık hatasıdır.
“Google, CVE-2022-3723 için bir istismarın vahşi doğada var olduğu raporlarının farkındadır” diye vurguluyor.
Şirket, güvenlik açısından güvenlik açığı hakkında pek fazla ayrıntı sağlamaz ve Chrome’un kullanıcı tabanının web tarayıcısını sorunu ele alan 107.0.5304.87/88 sürümüne güncellemesi için yeterli zaman sağlar.
Google, “Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir” diyor.
“Diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltilmediği, hatanın üçüncü taraf bir kütüphanede bulunması durumunda kısıtlamaları da koruyacağız.”
Genel olarak, program bir tür kullanarak bir kaynak, nesne veya değişken tahsis ettiğinde ve daha sonra farklı, uyumsuz bir tür kullanarak eriştiğinde, sınır dışı bellek erişimi ile sonuçlandığında, karışıklık güvenlik açıkları meydana gelir.
Uygulama bağlamından ulaşılamaması gereken bellek bölgelerine erişerek, bir saldırgan diğer uygulamaların hassas bilgilerini okuyabilir, kazalara neden olabilir veya keyfi kod yürütebilir.
Google, vahşi doğada var olan istismar içeren etkinlik seviyesini açıklığa kavuşturmaz, bu nedenle CVE-2022-3723 kullanan saldırıların yaygın veya sınırlı olup olmadığı şu anda bilinmemektedir.
Chrome kullanıcıları, Chrome Hakkında Ayarlar → Hakkında Ayarları Açarak Tarayıcıları Güncelleyebilir → İndirmenin Bitirmesini Bekleyin → Programı Yeniden Başlat.
Sürüm 107.0.5304.87/88 Yedinci Sıfır Gün Güvenlik Açığı'nı yılın başından beri düzeltti.
Önceki altısı:
CVE-2022-0609 gibi bazı durumlarda, kusurlar Google'ı keşfetmeden ve yamadan önce birkaç hafta boyunca devlet destekli tehdit aktörleri tarafından kullanıldı.
Bu nedenle, Chrome kullanıcılarına sömürü denemelerini engellemek için web tarayıcılarını mümkün olan en kısa sürede güncellemeleri şiddetle tavsiye edilir.
Google Chrome Acil Durum Güncellemesi, saldırılarda kullanılan yeni sıfır günü düzeltiyor
Google Chrome, Şubat 2023'te Windows 7 / 8.1 için destek bırakacak
Google, Chrome, Android Passkey Desteği ile İşaretleri Basitleştiriyor
Microsoft, yeni değişim sıfır günlerinin saldırılarda kullanıldığını doğrular
Github'da Satılık Sahte Microsoft Exchange Proxynotshell istismarları
Kaynak: Bleeping Computer