Google, etkin olarak saldırıya uğramış bir Chrome sıfır gün açığı için yeni güvenlik güncellemeleri yayınladı.
Bu açık sayesinde saldırganlar, Uzak sistemde tam kontrol elde etmek için keyfi kodu çalıştırabilirler. Güncelleme, Masaüstü sürümü için 108.0.5359.94 (Mac ve Linux için) ve 108.0.5359.94/.95 (Windows için) sürümlerini içermektedir.
Bu acil güvenlik güncellemesi kapsamında, Google, 2022 yılında Chrome tarayıcısındaki dokuzuncu sıfır gün açığını düzeltti.
V8 zayıf tür kontrolü açığı (Yüksek CVE-2022-4262), Google Tehdit Analiz Grubu’ndan Clement Lecigne tarafından bildirildi.
Aşağıdaki güvenlik detayları verilen açık, Chrome’un V8 JavaScript motorundaki yüksek düzeyde bir tür karışıklığı (type confusion) açığıdır. Bu açık, saldırganların keyfi kodu çalıştırarak uzaktan hata kullanmalarına olanak tanır.
Bu sıfır gün açığının başarılı kullanılması, bellek dışına yazma veya okuma yaparak tarayıcının çökmesine neden olur.
C++ ile yazılmış açık kaynaklı Google JavaScript motoru olan V8, Chrome ve diğer Chromium tabanlı tarayıcılarda kullanılan bir bileşendir ve bu nedenle saldırganlar için çekici bir hedeftir.
V8 açıkları, Google Project Zero ekibi üyesi Samuel Groß tarafından belirtilen gibi, çoğu modern güvenlik teknolojisi, donanım tabanlı tedbirler gibi sıklıkla atlatılabilir.
“Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğunluğu güncellendiğinde sınırlı tutulabilir.”
“Aynı şekilde başka projelerin de benzer şekilde bağımlı olduğu üçüncü taraf bir kütüphanede hata bulunuyorsa, sınırlamaları koruyabiliriz.”
“Google, CVE-2022-4262 için bir hata kullanımının mevcut olduğunu bilmektedir.” Google ifade etti.
Google şu anda sadece hata ayrıntılarını ve CVE numarasını paylaşmış olup teknik ayrıntılar mevcut değildir.
2022’de Düzeltilen Sıfır Gün Açıkları Aşağıda, 2022’de düzeltilen tüm 8 sıfır gün açığı listelenmiştir:
CVE-2022-4135 CVE-2022-3723 CVE-2022-3075 CVE-2022-2856 CVE-2022-2294 CVE-2022-1364 CVE-2022-1096 CVE-2022-0609
Chrome tarayıcınızdaki sıfır-gün güvenlik açığının kötüye kullanılmasını önlemek için hemen güncelleme yapmanız önemlidir. Chrome’u güncellemek için aşağıdaki adımları takip edebilirsiniz:
- Chrome’daki Ayarlar seçeneğine gidin. Ayarlara erişmek için Chrome penceresinin sağ üst köşesindeki üç dikey noktaya tıklayarak açılır menüden “Ayarlar” seçeneğini seçin.
- Ayarlar sayfasında, sol taraftaki menüden “Chrome Hakkında”yı seçin.
- Chrome otomatik olarak güncellemeleri kontrol edecek ve en son güncellemeyi indirecektir. İndirme tamamlanana kadar beklemeniz gerekebilir.
- En son sürüm indirildiğinde, Chrome sizi tarayıcıyı yeniden başlatmanızı isteyecek. Güncellemeyi yüklemek için “Yeniden Başlat” düğmesine tıklayın.
- Chrome yeniden başladığında, en son güncelleme yüklenir ve bilinen güvenlik açıklarına karşı koruma sağlanır.
Potansiyel güvenlik açıklarına karşı güncellemeleri düzenli olarak kontrol etmek ve tarayıcı ve diğer yazılımlarınızı güncel tutmak önemlidir, böylece en son güvenlik yamalarına sahip olabilirsiniz.
Sıfır Gün Hatası Nedir?
Sıfır gün hatası” (zero-day vulnerability), bir yazılımın geliştiricileri tarafından henüz keşfedilmemiş ve düzeltilmemiş bir güvenlik açığıdır. Bu tür bir güvenlik açığı, kötü niyetli saldırganların hedef sistemi hedef alarak sıfır gün avantajından yararlanmalarına olanak tanır.
“Sıfır gün” terimi, güvenlik açığının keşfedildiği günden itibaren geçen süreyi ifade eder. Eğer güvenlik açığı keşfedildiği anda hemen geliştirici tarafından düzeltilmezse, saldırganlar bu açığı kullanarak sistemlere saldırabilirler. Çünkü yazılımın geliştiricileri henüz açığı kapatmak için bir güncelleme yayınlamamıştır.
Sıfır gün hataları genellikle ciddi güvenlik tehditleri olarak kabul edilir, çünkü kullanıcılar için koruyucu önlemler alınmadığından dolayı hızlı bir şekilde kötü niyetli saldırganlar tarafından kullanılabilirler. Bu nedenle, yazılım geliştiricileri, sıfır gün hatalarını mümkün olan en kısa sürede tespit etmek ve düzeltmek için sürekli olarak güvenlik testleri ve güncellemeler yapmalıdır. Kullanıcılar da yazılımlarını güncel tutarak, bilinen güvenlik açıklarına karşı koruma sağlamalı ve güncellemeleri zamanında uygulamalıdırlar.