Google 1 Haftada 3 Zero-Day için Güncelleme Yayınladı

Google, bir hafta içerisinde saldırılarda istismar edilen üçüncü zero-day güvenlik açığını gidermek için yeni bir acil Chrome güvenlik güncellemesi yayınladı.

CVE-2024-4947 CVE numaralı güvenlik açığı, V8 JavaScript ve WebAssembly enginede bir tür karışıklığı hatasıyla ilgilidir. Kaspersky araştırmacıları Vasily Berdnikov ve Boris Larin tarafından 13 Mayıs 2024 tarihinde rapor edildi.

Bu tür açıklar genellikle tehdit aktörlerinin belleği arabellek sınırları dışında okuyarak veya yazarak tarayıcı çökmelerini tetiklemesini sağlasa da, hedeflenen cihazlarda rastgele kod yürütmek için de kullanılabilirler.

Bu hafta yamanan diğer iki aktif olarak istismar edilen Chrome sıfır günü CVE-2024-4671 (Visuals bileşenindeki bir use-after-free hatası) ve CVE-2024-4761 (V8 JavaScript motorundaki bir out-of-bounds write hatası).

Microsoft ayrıca CVE-2024-4947’yi hedef alan “şuanda var olan son istismarların farkında olduğunu” ve mühendislerinin Chromium tabanlı Edge web tarayıcısı için “bir güvenlik düzeltmesi yayınlamak için aktif olarak çalıştığını” söyledi.

Şirket, Mac/Windows için 125.0.6422.60/.61 ve 125.0.6422.60 (Linux) sürümleriyle zero day açığını düzeltti. Yeni sürümler önümüzdeki haftalarda Stable Desktop kanalındaki tüm kullanıcılara sunulacak.

Chrome, güvenlik yamaları mevcut olduğunda otomatik olarak güncellenir. Bununla birlikte, kullanıcılar Chrome menüsü > Yardım > Google Chrome Hakkında’ya gidip güncellemenin tamamlanmasını bekleyerek ve ardından yüklemek için ‘Yeniden Başlat’ düğmesine tıklayarak da en son sürümü çalıştırdıklarını doğrulayabilirler.

2024’te aktif olarak istismar edilen yedinci zero-day yamalandı
Google, CVE-2024-4947 hatasının saldırılarda kullanıldığını doğrularken, şirket henüz bu olaylarla ilgili daha fazla ayrıntı paylaşmadı.

Google “Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlı tutulabilir. Hatanın, diğer projelerin de benzer şekilde bağımlı olduğu ancak henüz düzeltilmemiş bir üçüncü taraf kütüphanesinde bulunması durumunda da kısıtlamaları sürdüreceğiz,” dedi.

Bu son Chrome güvenlik açığı, yılın başından bu yana Google web tarayıcısında düzeltilen yedinci zero-day olup, 2024 yılında düzeltilen zero-day açıklıklarının tam listesi şu şekildedir:

  • CVE-2024-0519 – Out-of-bounds memory access in V8
  • CVE-2024-2886 – Use-after-free in WebCodecs (demonstrated at Pwn2Own 2024)
  • CVE-2024-2887 – Type confusion in WebAssembly (demonstrated at Pwn2Own 2024)
  • CVE-2024-3159 – Out-of-bounds memory access in V8 (demonstrated at Pwn2Own 2024)
  • CVE-2024-4671 – Use-after-free in Visuals
  • CVE-2024-4761 – Out-of-bounds write in V8

Kullanıcıların olası tehditleri azaltmak için Windows ve macOS için Chrome sürüm 125.0.6422.60/.61’e ve Linux için sürüm 125.0.6422.60’a yükseltmeleri önerilir.

About The Author

Reply