Mac, Linux ve Windows’taki bazı Chrome kullanıcıları için, sistemleri veri hırsızlığına ve diğer siber saldırılara karşı savunmasız hale getirebilecek kritik bir sıfırıncı gün açığı için güvenlik güncellemesi, 6 diğer güncelleme ile birlikte yayınlandı. Google, Chrome kararlı kanal güncellemesinde “CVE-2023-6345’e yönelik bir istismarın ortalıkta yayıldığının farkında olduğunu” doğruladı. Güvenlik açığı, 24 Kasım’da Google’ın Tehdit Analiz Grubu (TAG) bünyesinde çalışan iki güvenlik araştırmacısı tarafından keşfedildi.
Google açıkla ilgili ayrıntı yayınlamadı çünkü ayrıntılı bilgiler saldırganların korumasız Chrome kullanıcılarından yararlanmasını kolaylaştırabilir. Ancak Chrome grafik motoru içindeki açık kaynaklı 2D grafik kitaplığı olan Skia’yı etkileyen bir tamsayı taşması zayıflığı olduğu notu var. Chrome güncellemesiyle ilgili notlara göre bu istismar, en az bir saldırganın “kötü amaçlı bir dosya yoluyla potansiyel olarak korumalı alandan kaçış gerçekleştirmesine” olanak tanıdı.
Google’ın Chrome Sürümleri bloguna göre, Mac masaüstü tarayıcısı için en son kanal güncellemesi (119.0.6045.199) kullanıcılara sunuluyor ve hepsi “yüksek” riskli olarak değerlendirilen yedi güvenlik düzeltmesi içeriyor.
- Yazım denetimi
Risk: Yüksek
Açıklama: Tip Karışıklığı
CVE-2023-6348: Google Project Zero’dan Mark Brand tarafından bildirildi - Mojo
Risk: Yüksek
Açıklama: Ücretsiz olarak kullanın
CVE-2023-6347: 360 Güvenlik Açığı Araştırma Enstitüsü’nden Leecraso ve Guang Gong tarafından rapor edildi - WebSes
Risk: Yüksek
Açıklama: Ücretsiz olarak kullanın
CVE-2023-6346: Ant Group Işık Yılı Güvenlik Laboratuvarı’ndan Huang Xilin tarafından rapor edildi. - Libavif
Risk: Yüksek
Açıklama: Sınırların dışında belleğe erişim
CVE-2023-6350: Fudan Üniversitesi tarafından rapor edildi - Libavif
Risk: Yüksek
Açıklama: Ücretsiz olarak kullanın
CVE-2023-6350: Fudan Üniversitesi tarafından rapor edildi - Skia
Risk: Yüksek
Açıklama: Tamsayı taşması
CVE-2023-6345: Google’ın Tehdit Analizi Grubundan Benoît Sevens ve Clément Lecigne tarafından bildirildi
Google, CVE-2023-6345’e yönelik bir istismarın ortalıkta mevcut olduğunun farkında olduğunu, bunun da bir saldırganın bu güvenlik açığını bir bilgisayara saldırmak için kullandığı anlamına geldiğini söylüyor. Google’ın açıkladığı gibi Chrome, metin oluşturma dahil neredeyse tüm grafik işlemleri için Skia’yı kullanıyor, dolayısıyla bundan kaçınmak o kadar da kolay değil.
Chrome’u güncellemek için Chrome menüsünde > Ayarlar’a , ardından >Chrome Hakkında’ya gidin ve yeni bir güncelleme olup olmadığını kontrol edin.