Google, sıfır gün güvenlik açıkları nedeniyle birden fazla acil durum güvenlik güncellemesinden oluşan bir Chrome güncellemesini bu yıl dördüncü kez yayınlamak zorunda kaldı.
Yazılımdaki sıfır gün güvenlik açıkları (bu durumda Chrome), daha geniş halk tarafından zaten bilinen ve kötü aktörler tarafından bilindiği varsayılan güvenlik açıklarıdır. Ayrıca kötü aktörlerin bu güvenlik açıklarından ya aktif olarak yararlanmaya çalıştıkları ya da halihazırda bu açıklardan yararlandıkları varsayılmaktadır. “Sıfır gün”, geliştiricilerin hatayı bilme ve çözebilme açısından daha geniş kitleden sıfır gün önde olması anlamına gelir. Bu özel sıfır gün kaçağı hakkında şu ana kadar bilinenler şunlardır:
Güvenlik açığı Google tarafından CVE-2023-4863 olarak etiketlendi ve Help Net Security’ye göreBu, Chrome’un kodundaki ‘kritik yığın arabellek taşması güvenlik açığı’dır. Arabellek taşmalarının çökmelere ve sonsuz döngülere neden olabileceğini ve bu aşırı yüklenme anlarının isteğe bağlı kod dağıtmak için kullanılabileceğini açıklıyor.
Google, Chrome Sürümleri blogunda bu konuya dikkat çektiChrome ekibinin haberleri doğrudan yayınladığı yer. SecurityWeek raporları istismarın “kritik önemde” olarak derecelendirildiğini söyledi.
Güvenlik açığıyla ilgili alarmı yükseltmek
Google, bu hata konusunda Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve Toronto Üniversitesi Vatandaş Laboratuvarı tarafından geçen hafta bilgilendirildi. Citizen Lab, dünyanın dört bir yanındaki muhalif politikacılar, gazeteciler ve muhalifler gibi insanlara zarar vermek isteyen hükümet onaylı kötü niyetli aktörlerin hedefli casus yazılım saldırılarında kullanılan sıfır gün güvenlik açıkları gibi açıkları bulmak için çalışıyor. Ayrıca ticari casus yazılım sağlayıcılarını da sıklıkla araştırır ve bilgilendirir.
Google, güvenlik açığından yararlanıldığını doğruladı ancak bunun ötesinde hata hakkında fazla bilgi vermedi. Bunun nedeni muhtemelen Google’ın, daha fazla açıktan yararlanmanın oluşturulmasını önlemek amacıyla daha fazla ayrıntı açıklamadan önce yamalı sürüm güncellemesini Chrome kullanıcılarının en azından çoğunluğuna sunmak istemesidir.
Google, Chrome kullanıcılarına bundan sonra ne yapmalarını önerir?
Chrome’un yeni yamalı güncellenmiş sürümü şu anda güncellemeler için Mevcut Ürün ve Genişletilmiş Mevcut Ürün sürüm kanallarının kullanımına sunuluyor. Google, yama güncellemesini önümüzdeki haftalarda tüm kullanıcılara ulaştırmayı hedefliyor. Bunun yanı sıra Google, Chrome için haftalık güncellemeler sunduğunu da duyurdu, bu nedenle acil durumlar dışında bile Chrome tarayıcınız (güvenlik açısından dahil) düzenli olarak güncelleniyor.
Google, kullanıcılara bu güncellemeyi mümkün olan en kısa sürede yüklemelerini tavsiye ediyor; bu, Mac ve Linux için 116.0.5845.187 ve Windows için 116.0.5845.187/.188 sürümü anlamına gelir. Bunun CVE-2023-4863 yamasını yapması gerekir.
BleepingComputer yazıyor Bu güncelleme hikayeyi bildirdiğinde zaten mevcuttu ve ben de aynı şeyin doğru olduğunu buldum. Tarayıcınızı yeniden başlatmanızı gerektirecektir ancak Chrome, yeniden başlatıldığında yeniden açılabilmesi için oturumunuzu da kaydetmelidir. Aşağıdaki adımları izleyerek tarayıcınızın güncellenmesini sağlayabilirsiniz:
1. Şuraya gidin: üç nokta simgesi Chrome şeridinizin sağ üst köşesinde.
2. Fareyle üzerine gelin Yardım ve açılır menünün görünmesine izin verin.
3. Seçin Google Chrome hakkında.
Bu bölümün üst kısmında tarayıcınızı güncelleyip güncelleyemediğiniz ayrıntılı olarak belirtilmelidir. Chrome tarayıcınız daha sonra güncellemeleri kontrol etmeli ve otomatik olarak yüklemelidir. Son olarak tarayıcınızı yeniden başlatmanızı isteyecektir.
Bu oldukça endişe verici bir gelişme, ancak Chrome aynı zamanda tüm tarayıcılar arasında en büyük kullanıcı tabanına sahip. Bu çubuğun diğer ucu, düşman aktörlerin denemesi ve sallaması için kullanıcı bilgilerinin en çekici önbelleklerinden biri olmasıdır.
Proaktif bir şekilde yanıt verdi ve çok hızlı bir şekilde güncelleme yayınladı; Google gibi bir teknoloji devinden beklediğimiz standart budur. Yüksek beklentileri karşılaması açısından iyi.