Google’ın Chrome tarayıcısındaki sıfır gün güvenlik açığı, vahşi ortamda aktif olarak istismar ediliyor.
İnternet devi bu hafta Chrome için 11 güvenlik yaması yayınladı ve bunlar şimdi Windows, Mac ve Linux için otomatik güncellemelerin etkinleştirildiği aşamalar halinde dağıtılıyor; ancak artık herkes manuel olarak güncelleyebilir.
Sıfır gün (CVE-2022-2856), yüksek önem derecesi olarak derecelendirilmiştir ve aşağıdakilere göre “Amaçlarda güvenilmeyen girişin yetersiz doğrulamasını” içerir. Google’ın tavsiyesi.
Hatanın bulunduğu amaçlar, kullanıcı girişini işlemek için Chrome tarafından kullanılır; tarayıcı bu girişi düzgün bir şekilde doğrulamazsa, saldırgan uygulama tarafından beklenmeyen bir girişi (örneğin, bir web sitesinin yorumlar bölümündeki bir gönderi) özel olarak oluşturabilir.
“Bu, sistemin bölümlerinin istenmeyen girdi almasına yol açacaktır, bu da kontrol akışının değişmesine, bir kaynağın keyfi kontrolüne veya rastgele kod yürütülmesine neden olabilir.” MITRE’ye göre.
Hatanın diğer ayrıntıları yetersizdir – Google, genellikle, bir kullanıcı çoğunluğu güncellemeleri uygulayana kadar ayrıntıları kısıtlar.
Yine de, “Google, CVE-2022-2856 için bir açıktan yararlanmanın doğada var olduğunun farkındadır” uyarısını okur, bu nedenle kullanıcıların hemen yama yapması gerekir.
Bu, 2022’de Chrome’da açıklanan, aktif olarak yararlanılan beşinci sıfır gün güvenlik açığıdır. Önceki dört güvenlik açığı şunlardı: CVE-2022-0609 (Şubat), CVE-2022-1096 (Mart), CVE-2022-1364 (Nisan) ve CVE -2022-2294 (Temmuz).