• Anasayfa
  • Güvenlik açıkları
  • Chrome'u Şimdi Güncelleyin: Google, Aktif Olarak Yararlanılan Sıfır Gün Güvenlik Açığı için Yama Yayınladı

Chrome'u Şimdi Güncelleyin: Google, Aktif Olarak Yararlanılan Sıfır Gün Güvenlik Açığı için Yama Yayınladı


Çarşamba günü Google, Chrome tarayıcısında aktif olarak istismar edilen yeni bir sıfır günü ele almak için düzeltmeler yaptı.

Chrome'u Şimdi Güncelleyin: Google, Aktif Olarak Yararlanılan Sıfır Gün Güvenlik Açığı için Yama Yayınladı

CVE-2023-5217 olarak izlenen yüksek önem derecesine sahip güvenlik açığı, Google ve Alliance for Open Media (AOMedia) tarafından sunulan ücretsiz bir yazılım video codec kitaplığı olan libvpx'te VP8 sıkıştırma biçiminde yığın tabanlı bir arabellek taşması olarak tanımlandı.

Bu tür arabellek taşması kusurlarından yararlanılması, programın çökmesine veya rastgele kod yürütülmesine neden olarak kullanılabilirliğini ve bütünlüğünü etkileyebilir.

Google'ın Tehdit Analizi Grubu'ndan (TAG) Clément Lecigne, 25 Eylül 2023'te kusuru keşfedip bildirmekle tanınırken, araştırmacı arkadaşı Maddie Stone, X'te (eski adıyla Twitter) ticari bir casus yazılım satıcısı tarafından yüksek riskli bireyleri hedeflemek için kötüye kullanıldığını belirtti.

Teknoloji devi, "CVE-2023-5217 için bir istismarın vahşi doğada var olduğunun farkında olduğunu" kabul etmek dışında hiçbir ek ayrıntı açıklamadı.

En son keşif, Google Chrome'da bu yıl yamaların yayınlandığı sıfır gün güvenlik açıklarının sayısını beşe çıkardı -

  • CVE-2023-2033 (CVSS puanı: 8,8) - V8'de tür karışıklığı
  • CVE-2023-2136 (CVSS puanı: 9,6) - Skia'da tamsayı taşması
  • CVE-2023-3079 (CVSS puanı: 8,8) - V8'de tür karışıklığı
  • CVE-2023-4863 (CVSS puanı: 8,8) - WebP'de yığın arabellek taşması

Ayrıca, İsrailli casus yazılım üreticisi Cytrox'un yakın zamanda yamalanmış bir Chrome güvenlik açığından (CVE-2023-4762, CVSS puanı: 8.8) Predator'ı teslim etmek için sıfır gün olarak yararlanmış olabileceğinden şüpheleniliyor, ancak şu anda vahşi saldırılar hakkında çok az bilgi mevcut.

Gelişme, Google'ın libwebp görüntü kitaplığındaki (başlangıçta CVE-2023-5129 olarak izlenen) ve geniş saldırı yüzeyi göz önüne alındığında vahşi doğada aktif olarak istismar edilen kritik kusura CVE-2023-4863 adlı yeni bir CVE tanımlayıcısı atamasıyla geldi.

Kullanıcıların, olası tehditleri azaltmak için Windows, macOS ve Linux için Chrome 117.0.5938.132 sürümüne geçmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarının da düzeltmeleri kullanıma sunulduklarında uygulamaları önerilir.

Güncelleştirme

Mozilla Perşembe günü, CVE-2023-5217'yi düzeltmek için Firefox güncellemelerini yayınladı ve "saldırgan tarafından kontrol edilen bir VP8 medya akışının belirli bir şekilde işlenmesinin içerik sürecinde yığın arabellek taşmasına yol açabileceğini" belirtti. Bu sorun Firefox 118.0.1, Firefox ESR 115.3.1, Android için Firefox Focus 118.1 ve Android için Firefox 118.1 sürümlerinde çözülmüştür.

Benzer Haberler

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

Ototaksitli Al

Trend Haberler

Yazarlarımız

E-Bülten Aboneliği