Google bir kez daha acil bir sıra dışı güncellemeyle Chrome tarayıcısındaki sıfır gün güvenlik açığını kapatmak zorunda. Bu anlamda bir istismar zaten ortalıkta dolaşıyor: Bu, son iki hafta içinde dördüncü kez yaşanıyor. Chromium tabanlı web tarayıcılarını kullanan herkes, bir güncelleme olup olmadığını hızlı bir şekilde kontrol etmeli ve yüklemelidir.
Duyuru
Yayın duyurusunda Chrome geliştiricileri, güvenlik açığının V8 Javascript motorundaki “tip karışıklığından” kaynaklandığını yazıyor. Gerçekte kullanılan veri türleri, program kodunda amaçlananlarla eşleşmez; bu da, bu amaç için tasarlanmamış bellek alanlarına erişime ve bazı durumlarda eklenen kötü amaçlı kodun yürütülmesine yol açabilir. CVE girişi henüz yayınlanmadı, ancak bu güvenlik açığı muhtemelen dikkatle hazırlanmış bir web sitesi görüntülenerek kötüye kullanılabilir (CVE-2024-5274, CVSS değeri yok, Google'a göre risk”)yüksek“).
Chrome'un sıfır gün güvenlik açığı zaten saldırıya uğradı
Yazarlar açıklamada “Google, CVE-2024-5274'e yönelik bir istismarın varlığından haberdardır” diye yazdı. Güvenlik açığının diğerlerinin yanı sıra Google'ın Tehdit Analiz Grubundan (TAG) Clément Lecigne tarafından keşfedilmesi, saldırıların halihazırda devam ettiğini gösteriyor. Google'ın TAG'ı genellikle daha önce gerçekleşmiş olan saldırılardaki güvenlik açıklarını inceler.
Google Chrome'un hatayı düzelten mevcut sürümleri Android için 125.0.6422.112/.113, Linux için 125.0.6422.112 ve macOS ve Windows için 125.0.6422.112/.113'tür. Ayrıca genişletilmiş kararlı sürüm, macOS ve Windows üzerinde 124.0.6367.233 numarasıyla güncelleniyor.
Sürüm kontrolü
Tarayıcınızın ayarlar menüsünde üç nokta simgesinin arkasında bulunan sürüm iletişim kutusu, Chrome'un güncel olup olmadığını gösterir. “Yardım” – “Google Chrome Hakkında” kısmından erişebilirsiniz. Yazılımın o anda çalışan sürümü görüntülenecek ve varsa güncelleme işlemi başlayacaktır.
Bir güncelleme mevcutsa, Google Chrome sürüm iletişim kutusu güncelleme işlemini tetikler.
(Resim: ekran görüntüsü / dmk)
Linux altında, kullanılan dağıtımın yazılım yönetimi genellikle Chrome tarayıcısının güncellenmesinden sorumludur. Güvenlik açığı, Microsoft Edge gibi diğer web tarayıcılarının temel aldığı Chromium tarayıcısını etkiliyor. Kullanıcıların hızlı bir şekilde başvurması gereken acil güncellemelerin yakında kullanıma sunulması muhtemeldir.
Geçtiğimiz iki hafta boyunca Google, Chromium tarayıcısındaki üç sıfır gün güvenlik açığını daha kapatmak zorunda kaldı. Ayrıca istismarlarla saldırıya uğradılar.
(Bilmiyorum)
Haberin Sonu
Duyuru
Yayın duyurusunda Chrome geliştiricileri, güvenlik açığının V8 Javascript motorundaki “tip karışıklığından” kaynaklandığını yazıyor. Gerçekte kullanılan veri türleri, program kodunda amaçlananlarla eşleşmez; bu da, bu amaç için tasarlanmamış bellek alanlarına erişime ve bazı durumlarda eklenen kötü amaçlı kodun yürütülmesine yol açabilir. CVE girişi henüz yayınlanmadı, ancak bu güvenlik açığı muhtemelen dikkatle hazırlanmış bir web sitesi görüntülenerek kötüye kullanılabilir (CVE-2024-5274, CVSS değeri yok, Google'a göre risk”)yüksek“).
Chrome'un sıfır gün güvenlik açığı zaten saldırıya uğradı
Yazarlar açıklamada “Google, CVE-2024-5274'e yönelik bir istismarın varlığından haberdardır” diye yazdı. Güvenlik açığının diğerlerinin yanı sıra Google'ın Tehdit Analiz Grubundan (TAG) Clément Lecigne tarafından keşfedilmesi, saldırıların halihazırda devam ettiğini gösteriyor. Google'ın TAG'ı genellikle daha önce gerçekleşmiş olan saldırılardaki güvenlik açıklarını inceler.
Google Chrome'un hatayı düzelten mevcut sürümleri Android için 125.0.6422.112/.113, Linux için 125.0.6422.112 ve macOS ve Windows için 125.0.6422.112/.113'tür. Ayrıca genişletilmiş kararlı sürüm, macOS ve Windows üzerinde 124.0.6367.233 numarasıyla güncelleniyor.
Sürüm kontrolü
Tarayıcınızın ayarlar menüsünde üç nokta simgesinin arkasında bulunan sürüm iletişim kutusu, Chrome'un güncel olup olmadığını gösterir. “Yardım” – “Google Chrome Hakkında” kısmından erişebilirsiniz. Yazılımın o anda çalışan sürümü görüntülenecek ve varsa güncelleme işlemi başlayacaktır.
Bir güncelleme mevcutsa, Google Chrome sürüm iletişim kutusu güncelleme işlemini tetikler.
(Resim: ekran görüntüsü / dmk)
Linux altında, kullanılan dağıtımın yazılım yönetimi genellikle Chrome tarayıcısının güncellenmesinden sorumludur. Güvenlik açığı, Microsoft Edge gibi diğer web tarayıcılarının temel aldığı Chromium tarayıcısını etkiliyor. Kullanıcıların hızlı bir şekilde başvurması gereken acil güncellemelerin yakında kullanıma sunulması muhtemeldir.
Geçtiğimiz iki hafta boyunca Google, Chromium tarayıcısındaki üç sıfır gün güvenlik açığını daha kapatmak zorunda kaldı. Ayrıca istismarlarla saldırıya uğradılar.
(Bilmiyorum)
Haberin Sonu