Siber Muhbir

CVE-2023-6345 olarak izlenen yüksek önem derecesine sahip güvenlik açığı, açık kaynaklı bir 2D grafik kitaplığı olan Skia'da bir tamsayı taşması hatası olarak tanımlandı.

Google'ın Tehdit Analizi Grubu'ndan (TAG) Benoît Sevens ve Clément Lecigne, 24 Kasım 2023'te kusuru keşfedip bildirmekle suçlandı.

Tipik olarak olduğu gibi, arama devi "CVE-2023-6345 için bir istismarın vahşi doğada var olduğunu" kabul etti, ancak saldırıların doğası ve onu gerçek dünya saldırılarında silahlandırabilecek tehdit aktörleri hakkında ek bilgi paylaşmaktan kaçındı.

Google'ın Nisan 2023'te aynı bileşende (CVE-2023-2136) benzer bir tamsayı taşması kusuru için yamalar yayınladığını ve bu da sıfır gün olarak aktif olarak istismar edildiğini ve CVE-2023-6345'in birincisi için bir yama atlama olma olasılığını artırdığını belirtmekte fayda var.

CVE-2023-2136'nın "oluşturucu sürecini tehlikeye atan uzak bir saldırganın, hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak bir korumalı alandan kaçış gerçekleştirmesine izin verdiği" söyleniyor.

En son güncellemeyle teknoloji devi, yılın başından bu yana Chrome'da toplam altı sıfır günü ele aldı -

• CVE-2023-2033 (CVSS puanı: 8,8) - V8'de tür karışıklığı
• CVE-2023-2136 (CVSS puanı: 9,6) - Skia'da tamsayı taşması
• CVE-2023-3079 (CVSS puanı: 8,8) - V8'de tür karışıklığı
• CVE-2023-4863 (CVSS puanı: 8,8) - WebP'de yığın arabellek taşması
• CVE-2023-5217 (CVSS puanı: 8,8) - libvpx'te vp8 kodlamasında yığın arabellek taşması

Kullanıcıların, olası tehditleri azaltmak için Chrome'un Windows için 119.0.6045.199/.200 ve macOS ve Linux için 119.0.6045.199 sürümüne geçmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcıların kullanıcılarının da düzeltmeleri kullanıma sunulduklarında uygulamaları önerilir.