Salı günü Google, Chrome tarayıcısındaki, aktif olarak yararlanılan sıfır gün kusuru da dahil olmak üzere dört güvenlik sorununu düzeltmek için güncellemeler yayınladı.
Sorun şu şekilde izlendi: CVE-2024-0519V8 JavaScript ve WebAssembly motorunda, tehdit aktörleri tarafından bir çökmeyi tetiklemek üzere silah olarak kullanılabilen, sınır dışı bellek erişimiyle ilgilidir.
“Bir saldırgan, sınır dışı belleği okuyarak, kod elde etmek için ayrı bir zayıflıktan yararlanma olasılığını ve güvenilirliği artırmak amacıyla ASLR gibi koruma mekanizmalarını atlayabilen bellek adresleri gibi gizli değerleri elde edebilir. MITRE’nin Ortak Zayıflık Sayımına göre (sadece hizmet reddi yerine infaz)”CWE).
Saldırıların niteliği ve bunu istismar eden tehdit aktörleri hakkında ek ayrıntılar, daha fazla istismarın önlenmesi amacıyla gizlendi. Sorun 11 Ocak 2024’te isimsiz olarak bildirildi.
“120.0.6099.224 öncesi Google Chrome’daki V8’deki sınır dışı bellek erişimi, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasından potansiyel olarak yararlanmasına izin veriyordu” diyor kusurun açıklaması NIST’in Ulusal Güvenlik Açığı Veritabanında (NVD).
Bu gelişme, Google tarafından 2024’te Chrome’da yamalanacak, aktif olarak yararlanılan ilk sıfır günü işaret ediyor. Geçen yıl teknoloji devi, tarayıcıda bu tür aktif olarak yararlanılan toplam 8 sıfır günü çözüme kavuşturdu.
Potansiyel tehditleri azaltmak amacıyla kullanıcıların Windows için Chrome 120.0.6099.224/225, macOS için 120.0.6099.234 ve Linux için 120.0.6099.224 sürümüne yükseltmeleri önerilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunuldukça uygulamaları önerilir.