ABD Siber Güvenlik ve Altyapı Ajansı (CISA) Cuma günü, kullanıcıları ve yöneticileri, tarayıcısındaki toplam yedi güvenlik açığını düzeltmek için Google’ın geçen hafta yayınladığı yeni bir Chrome sürümüne güncelleme yapmaya çağırdı.
Google, bir danışma belgesinde, üçü harici araştırmacılar tarafından şirkete bildirilen dört kusurun kuruluşlar için yüksek risk oluşturduğunu açıkladı. Şirket, çoğu kullanıcı Chrome’un yeni sürümüne (102.0.5005.115) güncelleme yapana kadar hata ayrıntılarına erişimi kısıtlamaya karar verdiğini söyledi.
Güvenlik açıklarından biri, WebGPU uygulama programlama arayüzünde ücretsiz yayından sonra kullanım olarak adlandırılan bir güvenlik açığıdır. Grafik İşlem Biriminde hesaplama ve işleme gibi işlevler. Hatadan (CVE-2022-2007) uzaktan yararlanılabilir ve bir rapora göre, etkilenen sistemlerin gizliliği, bütünlüğü ve kullanılabilirliği üzerinde etkisi olabilir. kusurun açıklaması güvenlik açığı veritabanı VulDB üzerinde. VulDB, “Sömürü için herhangi bir kimlik doğrulama biçimine gerek yoktur. Kurbanın bir tür kullanıcı etkileşimi yapmasını gerektirir” dedi.
Google, Mayıs ayında hatayı şirkete bildiren güvenlik araştırmacısına 10.000 dolar verdi. VulDB, kusur için bir istismarın fiyatının şu anda 5.000 ila 25.000 ABD Doları arasında olduğunu tahmin etti, ancak bu yakında artabilir.
İkinci kusur, 2D ve 3D grafikler oluşturmak için WebGL API’sinde sınır dışı bellek erişimi kullanımıdır. Vietnam firması VinCSS Internet Security Services’den iki araştırmacı, hatayı (CVE-2022-2008) Nisan ayında bildirdi. VulDB kusuru şu şekilde tanımladı: uzaktan sömürülebilir ancak kurban tarafından en azından bir miktar kullanıcı etkileşimi gerektirir. VulDB, kusurun kolayca kullanılabilir olduğunu ve kimlik doğrulama gerektirmediğini söyledi. Google’ın tavsiyesi, güvenlik açığını açıklamanın ödülünün henüz belirlenmediğini kaydetti.
Yeni Chrome sürümünün (CVE-2022-2010) ele aldığı üçüncü yüksek önem düzeyine sahip güvenlik açığı, şu anda bir sınır dışı okuma sorunudur: birleştirme
veya Web sayfası içeriğinin oluşturulmasında. Google’ın kendi Project Zero hata avlama ekibine sahip bir güvenlik araştırmacısı, Mayıs ayında güvenlik açığını keşfetti. Diğer iki kusur gibi, bu da gizliliği, bütünlüğü ve kullanılabilirliği etkiler etkilenen sistemlerin, VulDB söyledi.
Google’ın açıkladığı dördüncü yüksek önemdeki güvenlik açığı, harici bir güvenlik araştırmacısının Mayıs ayında şirkete bildirdiği, ücretsiz kullanım sonrası bir sorundur. Kusur (CVE-2022-2011), Google’ın “neredeyse yerel Grafik Katmanı motoru” Chrome’da. Bellek bozulması güvenlik açığı, VulDB’nin sorunla ilgili açıklamasına göre, diğer üç güvenlik açığıyla neredeyse aynı etkiye sahiptir.
CISA: Kusurlar Saldırganların Etkilenen Sistemlerin Kontrolünü Ele Geçirmesine İzin Veriyor
CISA, kuruluşları incelemeye çağırdı Google’ın Chrome sürüm notu ve riski azaltmak için güncellemeyi uygulayın. “Google, Windows, Mac ve Linux için Chrome sürüm 102.0.5005.115’i yayımladı. Bu sürüm, bir saldırganın etkilenen bir sistemin kontrolünü ele geçirmek için yararlanabileceği güvenlik açıklarını ele alıyor” dedi.
Google’ın en son Chrome sürümüyle ele aldığı yedi kusur, şirketin Chrome ile ilgili diğer bazı hata açıklamalarından sayıca oldukça küçüktür. Google’ın 24 Mayıs’ta yayınladığı bir Chrome güncellemesi 32 kusur için düzeltmeler dahil, bunlardan biri kritik önemde olarak derecelendirilirken, diğer yedi kişi son derece kritik olarak derecelendirildi. Yine Mayıs ayındaki bir başka güncelleme, 13 kusur için düzeltmeler içeriyordubunlardan sekizi şirket yüksek önem derecesine sahip olarak derecelendirdi.