Google, siber suçlular tarafından hedef alınmamak için Chrome kullanıcılarını web tarayıcısını en son sürüme güncellemeye çağırdı.
Geçen haftanın sonlarında şirket, Windows, Mac ve Linux için Chrome 99.0.4844.84’ü yayınladı ve bu, uzaktan kod yürütülmesine izin veren yüksek önem derecesine sahip sıfırıncı gün güvenlik açığını giderdi.
içinde danışma Güncellemeyle birlikte yayınlanan şirket, sorunun gerçek hayat senaryolarında zaten kötüye kullanıldığını açıkladı. Firma, “Google, CVE-2022-1096 için bir açıktan yararlanmanın doğada var olduğunun farkındadır” diye yazdı.
Google Chrome sıfır gün
CVE-2022-1096 olarak izlenen Google Chrome güvenlik açığı, Chrome V8 JavaScript motorunda bir kafa karışıklığı zayıflığı olarak tanımlanmaktadır.
Saldırganın tarayıcıyı çökertmesine ve rastgele kod yürütmesine olanak tanır; bu, hizmet reddi saldırıları için kötüye kullanılabileceği veya kötü amaçlı yazılım ve fidye yazılımı ile cihazlara bulaşabileceği anlamına gelir.
Kusur vahşi bir şekilde kötüye kullanıldığından, Google, kullanıcılar sistemlerini düzeltene kadar kasıtlı olarak ek bilgileri saklıyor.
Google, “Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğu bir düzeltmeyle güncellenene kadar kısıtlı tutulabilir” dedi. “Ayrıca, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltmediği bir üçüncü taraf kitaplığında hata varsa, kısıtlamaları da koruyacağız.”
Düzeltme zaten çıktı, ancak her Chrome kullanıcısına ulaşması haftalar alabilir. İstemcilerinin otomatik olarak güncellenip güncellenmediğini kontrol etmek isteyen herkes, sürüm numarasını gösterecek olan Chrome Menüsü > Yardım > Google Chrome Hakkında aracılığıyla bunu yapabilir.
Bu, CVE-2022-0609’un keşfinin ardından yılın başından bu yana Chrome’da bulunan ve yamalanan ikinci sıfır gün. Google, bu güvenlik açığını “animasyonda ücretsiz kullanım” olarak tanımlıyor, ancak bunun ne anlama geldiği veya riskin ne kadar aşırı olduğu konusunda fazla ayrıntıya girmedi.
Şirket, kusurların vahşi doğada kötüye kullanıldığını söylüyor, ancak nasıl veya kim tarafından kötüye kullanıldığına dair herhangi bir ayrıntıyı paylaşmayı reddetti. Kötü amaçlı yazılımın kusuru kötüye kullanmak için geliştirilip geliştirilmediğini ve virüsten koruma çözümleri tarafından alınıp alınmayacağını söylemek zor.
Üzerinden BleeBilgisayar
