Biraz gecikmeyle Google geliştiricileri Chrome web tarayıcısının haftalık güncellemesini yayınladı. Programcılar genel olarak üç güvenlik açığını dolduruyor. Herkesin “yüksek” bir risk seviyesi vardır.
Duyuru
Yayın duyurusuna göre, Google geliştiricilerine göre gazeteciye verilecek ödül miktarına (21.000 ABD doları) göre en ciddi sorun, kompozisyon bileşeninde sağlanan sınırların dışında potansiyel yazma erişimi olarak görünüyor. CVE girişindeki boşluğun somut açıklaması çok daha ilginç hale geliyor: GPU sürecini tehlikeye atan saldırganlar (örneğin Chrome'daki başka bir güvenlik açığı yoluyla), sistemi izinsiz girişlerden koruması gereken sanal alandan kaçabilirler. Kullanıcı arayüzünde özel olarak açıklanmayan bazı hareketler var (CVE-2024-3157, CVSS değeri yok, Google risk derecelendirmesi”yüksek“). Muhtemelen bazılarının aklına bir reklam kampanyası geliyor: “Tek çekimde her şey yok oluyor.”
Google Chrome: Tarayıcıda kod kaçakçılığı delikleri
Diğer iki güvenlik açığı, kendilerine rapor verenlerin her birine 10.000 dolar ödül kazandırdı. Angle bileşenindeki yığın tabanlı arabellek taşması, kötü amaçlı kod yürütülmesine yol açabilir (CVE-2024-3516, CVSS değeri yok, yüksek). CVE'ye göre bu, üzerinde oynanmış bir HTML web sitesinin görüntülenmesiyle gerçekleşir. Ayrıca, Dawn modülündeki serbest kullanım sonrası güvenlik açığı, yığında bellek kaosuna neden olur; saldırganlar dikkatlice hazırlanmış web sitelerinde de bu duruma neden olabilir ve böylece kötü amaçlı kod enjekte edip çalıştırabilir (CVE-2024-3515, CVSS değeri yok, yüksek).
Güvenlikle ilgili hatalar, Android için Chrome 123.0.6312.118, Linux için 123.0.6312.122, Mac için 123.0.6312.122/.123/.124 ve Windows için 123.0.6312.122/.123 sürümlerinde çözümlenmiştir.
Her şey güncel mi?
Web tarayıcısı sürümü iletişim kutusu, geçerli sürümün zaten etkin olup olmadığını gösterir. Bu, ayarlar menüsüne tıklayarak (adres çubuğunun sağındaki dikey olarak yığılmış üç nokta simgesinin arkasında gizlidir) ve ardından “Yardım” – “Google Chrome Hakkında” yoluyla açılabilir. Gerekirse güncelleme işlemi başlatılacaktır.
Chrome sürümü iletişim kutusu o anda çalışmakta olan sürümü gösterir. Gerektiğinde güncelleme işlemini de hemen başlatacaktır.
(Resim: ekran görüntüsü / dmk)
Linux altında, dağıtım yönetimi yazılımı genellikle Chrome'un güncellenmesinden sorumludur, bu nedenle onu başlatmak ve güncellemeler için test etmek iyi bir fikirdir. Microsoft Edge gibi Chromium projesini temel alan diğer tarayıcılar da hatalardan etkilendiğinden bunlar için de yakın zamanda bir güncelleme gelmesi bekleniyor.
Geçen hafta Google ayrıca Chrome'daki üç güvenlik açığını da kapattı. Ancak çok daha heyecan verici olanı, geliştiricilerin oturum çerezlerinin çalınmasını işe yaramaz hale getirecek bir özellik üzerinde çalıştıklarının eş zamanlı olarak duyurulmasıydı. Cihaza bağlı oturum kimlik bilgileriyle (DBSC), kimliği doğrulanmış oturumlar, erişim anahtarlarına benzer bir mekanizma kullanılarak cihazla ilişkilendirilir.
(Bilmiyorum)
Haberin Sonu
Duyuru
Yayın duyurusuna göre, Google geliştiricilerine göre gazeteciye verilecek ödül miktarına (21.000 ABD doları) göre en ciddi sorun, kompozisyon bileşeninde sağlanan sınırların dışında potansiyel yazma erişimi olarak görünüyor. CVE girişindeki boşluğun somut açıklaması çok daha ilginç hale geliyor: GPU sürecini tehlikeye atan saldırganlar (örneğin Chrome'daki başka bir güvenlik açığı yoluyla), sistemi izinsiz girişlerden koruması gereken sanal alandan kaçabilirler. Kullanıcı arayüzünde özel olarak açıklanmayan bazı hareketler var (CVE-2024-3157, CVSS değeri yok, Google risk derecelendirmesi”yüksek“). Muhtemelen bazılarının aklına bir reklam kampanyası geliyor: “Tek çekimde her şey yok oluyor.”
Google Chrome: Tarayıcıda kod kaçakçılığı delikleri
Diğer iki güvenlik açığı, kendilerine rapor verenlerin her birine 10.000 dolar ödül kazandırdı. Angle bileşenindeki yığın tabanlı arabellek taşması, kötü amaçlı kod yürütülmesine yol açabilir (CVE-2024-3516, CVSS değeri yok, yüksek). CVE'ye göre bu, üzerinde oynanmış bir HTML web sitesinin görüntülenmesiyle gerçekleşir. Ayrıca, Dawn modülündeki serbest kullanım sonrası güvenlik açığı, yığında bellek kaosuna neden olur; saldırganlar dikkatlice hazırlanmış web sitelerinde de bu duruma neden olabilir ve böylece kötü amaçlı kod enjekte edip çalıştırabilir (CVE-2024-3515, CVSS değeri yok, yüksek).
Güvenlikle ilgili hatalar, Android için Chrome 123.0.6312.118, Linux için 123.0.6312.122, Mac için 123.0.6312.122/.123/.124 ve Windows için 123.0.6312.122/.123 sürümlerinde çözümlenmiştir.
Her şey güncel mi?
Web tarayıcısı sürümü iletişim kutusu, geçerli sürümün zaten etkin olup olmadığını gösterir. Bu, ayarlar menüsüne tıklayarak (adres çubuğunun sağındaki dikey olarak yığılmış üç nokta simgesinin arkasında gizlidir) ve ardından “Yardım” – “Google Chrome Hakkında” yoluyla açılabilir. Gerekirse güncelleme işlemi başlatılacaktır.
Chrome sürümü iletişim kutusu o anda çalışmakta olan sürümü gösterir. Gerektiğinde güncelleme işlemini de hemen başlatacaktır.
(Resim: ekran görüntüsü / dmk)
Linux altında, dağıtım yönetimi yazılımı genellikle Chrome'un güncellenmesinden sorumludur, bu nedenle onu başlatmak ve güncellemeler için test etmek iyi bir fikirdir. Microsoft Edge gibi Chromium projesini temel alan diğer tarayıcılar da hatalardan etkilendiğinden bunlar için de yakın zamanda bir güncelleme gelmesi bekleniyor.
Geçen hafta Google ayrıca Chrome'daki üç güvenlik açığını da kapattı. Ancak çok daha heyecan verici olanı, geliştiricilerin oturum çerezlerinin çalınmasını işe yaramaz hale getirecek bir özellik üzerinde çalıştıklarının eş zamanlı olarak duyurulmasıydı. Cihaza bağlı oturum kimlik bilgileriyle (DBSC), kimliği doğrulanmış oturumlar, erişim anahtarlarına benzer bir mekanizma kullanılarak cihazla ilişkilendirilir.
(Bilmiyorum)
Haberin Sonu