Google, bir hafta içinde saldırılarda kullanılmayan üçüncü sıfır gün güvenlik açığını ele almak için yeni bir acil durum krom güvenlik güncellemesi yayınladı.
Arama devi Çarşamba günü yayınlanan bir güvenlik danışmanında, "Google, CVE-2024-4947 için bir istismarın vahşi doğada bulunduğunun farkında." Dedi.
Yüksek şiddetli sıfır günlük güvenlik açığı (CVE-2024-4947), Kaspersky'nin Vasily Berdnikov ve Boris Larin tarafından bildirilen Chrome V8 JavaScript motorundaki tip bir karışıklık zayıflığından kaynaklanır-bu da hedeflenen saldırılarda aktif olarak kullanılmış olarak etiketledi.
Bu tür kusurlar genellikle tehdit aktörlerinin arabellek sınırlarından bellek okuyarak veya yazarak tarayıcı çöküşlerini tetiklemelerini sağlasa da, hedeflenen cihazlarda keyfi kod yürütme için bunları kullanabilirler.
Bu hafta yamalanan diğer aktif olarak sömürülen diğer iki krom sıfır gün, CVE-2024-4671 (görsel bileşende kullanılmayan bir kusur) ve CVE-2024-4761 (V8 JavaScript'te bitiş dışı bir yazma böceği motor).
Microsoft ayrıca, CVE-2024-4947'yi hedefleyen vahşi doğada var olan son istismarların farkında olduğunu ve mühendislerinin krom tabanlı Edge Web tarayıcısı için "aktif olarak bir güvenlik düzeltmesi yayınlamak için çalıştıklarını" söyledi.
Şirket, Mac/Windows için 125.0.6422.60/.61 ve 125.0.6422.60 (Linux) ile sıfır gün kusurunu düzeltti. Yeni sürümler önümüzdeki haftalarda sabit masaüstü kanalındaki tüm kullanıcılara sunulacak.
Güvenlik yamaları mevcut olduğunda Chrome otomatik olarak güncellenir. Ancak, kullanıcılar ayrıca Google Chrome hakkında Chrome Menü> Yardım> 'a, güncellemeye izin vererek ve ardından yüklemek için' Yeniden Başlat 'düğmesine tıklayarak en son sürümü çalıştırdıklarını onaylayabilir.
Bugünkü güncelleme, BleepingComputer yeni güncellemeleri kontrol ettiğinde hemen mevcuttu.
Google, CVE-2024-4947 hatasının saldırılarda kullanıldığını doğrularken, şirket bu olaylarla ilgili daha fazla ayrıntı henüz paylaşmadı.
"Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlı tutulabilir. Ayrıca, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız. "Google dedi.
Bu son Chrome güvenlik açığı, yılın başlangıcından bu yana Google Web tarayıcısında sabit olan yedinci sıfır gündür, 2024'te yamalanmış sıfır günlerin tam listesi:
Google Chrome Acil Durum Güncellemesi, 2024'te 6. Zero Day Soleed Düzeltmeleri
Google, bu yıl saldırılarda sömürülen beşinci krom sıfır gün
Microsoft, Qakbot kötü amaçlı yazılım saldırılarında Windows Zero Day'i düzeltiyor
Eski iPhone'lara yapılan saldırılarda sıfır gün için elma backports düzeltme
Crushftp, kullanıcıları sömürülen sıfır gün “hemen” yama yapmaları konusunda uyarır
Kaynak: Bleeping Computer