Google, Chrome tarayıcısındaki, vahşi ortamda aktif olarak istismar edilen sıfır gün de dahil olmak üzere yedi güvenlik sorununu düzeltmek için güvenlik güncellemeleri yayınladı.
Şu şekilde izlendi: CVE-2023-6345Yüksek önemdeki güvenlik açığı, açık kaynaklı bir 2D grafik kütüphanesi olan Skia’daki bir tamsayı taşması hatası olarak tanımlandı.
Google’ın Tehdit Analizi Grubu’ndan (TAG) Benoît Sevens ve Clément Lecigne, 24 Kasım 2023’te kusuru keşfedip bildirdikleri için itibar kazandılar.
Genellikle olduğu gibi, arama devi kabul edildi “CVE-2023-6345’e yönelik bir istismarın ortalıkta mevcut olduğunu” belirtti ancak saldırıların doğası ve onu gerçek dünyadaki saldırılarda silah haline getirebilecek tehdit aktörleri hakkında ek bilgi paylaşma konusunda yetersiz kaldı.
Google’ın Nisan 2023’te aynı bileşende (CVE-2023-2136) benzer bir tamsayı taşması kusuru için yamalar yayınladığını ve bu kusurun da sıfır gün olarak aktif istismara maruz kaldığını belirtmekte fayda var. birincisi için bir yama bypass’ı olabilir.
CVE-2023-2136’nın “oluşturucu sürecini tehlikeye atan uzak bir saldırganın, hazırlanmış bir HTML sayfası aracılığıyla sanal alandan kaçış gerçekleştirme potansiyeline izin verdiği” söyleniyor.
Teknoloji devi, son güncellemeyle bu yılın başından bu yana Chrome’da toplam yedi sıfır günü ele aldı:
Potansiyel tehditleri azaltmak amacıyla kullanıcıların Windows için Chrome 119.0.6045.199/.200 ve macOS ve Linux için 119.0.6045.199 sürümüne yükseltmeleri önerilir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunuldukça uygulamaları önerilir.
(Hikaye yayınlandıktan sonra CVE-2023-4762’nin aktif kullanımı hakkında bilgi içerecek şekilde güncellendi.)
