Google, Chrome web tarayıcısındaki yüksek riskli güvenlik açıklarını kapatır. Güvenlik açıklarının ciddiyeti nedeniyle, saldırganlar güvenliği ihlal edilmiş web sitelerini potansiyel kurbanlara kötü amaçlı kod enjekte etmek için kullanabilir.
Google, her zaman olduğu gibi, güvenlikle ilgili düzeltilen hatalar hakkında ayrıntılı bilgi vermek konusunda isteksizdir. Bununla birlikte, geliştiriciler toplamda altı güvenlik açığını kapattılar; bunlardan ikisi yüksek, ikisi orta düzeyde risk oluşturuyor. Sözü edilmeyen iki boşluğun ne durumda olduğu belirsizliğini koruyor.
Chrome Güvenlik Açığı: Büyük Ödül
WebTransport’taki bir güvenlik açığı, örneğin http/3’ü destekleyen bir istemci-sunucu iletim modülü, yayınlandıktan sonra kaynakları kullanır, yani içerikleri tanımsızdır. Bu tür ücretsiz kullanımdan sonra güvenlik açıkları, genellikle kaçakçılık amaçlı kötü amaçlı kod yürütmek için kötüye kullanılabilir. Google, gerçek bir tehdide işaret eden rapor için 16.000 ABD doları değerindeydi (CVE-2023-0471). CVE girişine göre, saldırganlar öbek üzerinde bellek karıştırmaya neden olmak için bunu manipüle edilmiş HTML sayfalarıyla kötüye kullanabilir.
Aynı saldırı vektörü ve potansiyel sonuçla aynı türde bir hata, örneğin mikrofonlar ve web kameraları kullanılarak gerçek zamanlı iletişim için kullanılan WebRTC arayüzünü etkiler. Google ayrıca güvenlik açığını yüksek riskli olarak sınıflandırsa da, keşfeden Cassidy Kim’e yalnızca 3.000 ABD Doları (CVE-2023-0472) ödedi. Hata raporu da yeterince ayrıntılı olmayabilir ve örneğin, Google’ın önemli ölçüde daha yüksek ödüller verdiği bir kavram kanıtı istismarını beraberinde getirmemiş olabilir.
Sürüm durumunu kontrol edin
Chrome’un mevcut sürümleri artık Linux ve Mac için 109.0.5414.119, Windows için 109.0.5414.119/.120, Android için 109.0.5414.117/.118 ve iOS için 109.0.5414.112’dir. Mobil tarayıcılarla ilgili olarak geliştiriciler, sürümün ayrıca ayrıntılı olarak açıklanmayan kararlılık ve performans iyileştirmeleri içerdiğine dikkat çekiyor.
Güvenlik açıkları daha büyük bir tehdit oluşturuyor gibi göründüğünden, Chrome kullanıcılarının mevcut sürümü kullanıp kullanmadıklarını kontrol etmeleri gerekir. Bunu yapmak için, adres çubuğunun sağında dikey olarak yığılmış üç nokta bulunan sembole tıklayarak açılan Chrome menüsüne gitmeleri gerekir. İlgili iletişim kutusu burada “Yardım” – “Google Chrome Hakkında” altında bulunabilir. Ya mevcut sürümü gösterecek ya da bu, güncellemeyi indirmeye ve yüklemeye başlayacaktır. Son olarak, iletişim kutusu web tarayıcısının yeniden başlatılması gerektiğini belirtir ve bunu bir seçenek olarak sunar.
“Google Chrome Hakkında” iletişim kutusunun çağrılması, güncellemenin indirilip yüklenmesine başlayabilir ve son olarak tarayıcının yeniden başlatılması gerektiğini belirtir.
(Resim: Ekran Görüntüsü)
Her zaman olduğu gibi, Linux kullanıcılarının bir güncelleme için dağıtımlarının yazılım yönetimini başlatması gerekir. Güvenlik açıkları genellikle altta yatan Chromium projesinde de bulunduğundan, Microsoft Edge gibi buna dayalı diğer web tarayıcılarının da kısa süre içinde güncellenmesi gerekir.
Google, yalnızca iki hafta önce Chrome tarayıcısının 109. sürümünü yayınladı. İçinde, geliştiriciler toplam 17 güvenlik açığını kapatmıştı.
(dmk)
Haberin Sonu
Google, her zaman olduğu gibi, güvenlikle ilgili düzeltilen hatalar hakkında ayrıntılı bilgi vermek konusunda isteksizdir. Bununla birlikte, geliştiriciler toplamda altı güvenlik açığını kapattılar; bunlardan ikisi yüksek, ikisi orta düzeyde risk oluşturuyor. Sözü edilmeyen iki boşluğun ne durumda olduğu belirsizliğini koruyor.
Chrome Güvenlik Açığı: Büyük Ödül
WebTransport’taki bir güvenlik açığı, örneğin http/3’ü destekleyen bir istemci-sunucu iletim modülü, yayınlandıktan sonra kaynakları kullanır, yani içerikleri tanımsızdır. Bu tür ücretsiz kullanımdan sonra güvenlik açıkları, genellikle kaçakçılık amaçlı kötü amaçlı kod yürütmek için kötüye kullanılabilir. Google, gerçek bir tehdide işaret eden rapor için 16.000 ABD doları değerindeydi (CVE-2023-0471). CVE girişine göre, saldırganlar öbek üzerinde bellek karıştırmaya neden olmak için bunu manipüle edilmiş HTML sayfalarıyla kötüye kullanabilir.
Aynı saldırı vektörü ve potansiyel sonuçla aynı türde bir hata, örneğin mikrofonlar ve web kameraları kullanılarak gerçek zamanlı iletişim için kullanılan WebRTC arayüzünü etkiler. Google ayrıca güvenlik açığını yüksek riskli olarak sınıflandırsa da, keşfeden Cassidy Kim’e yalnızca 3.000 ABD Doları (CVE-2023-0472) ödedi. Hata raporu da yeterince ayrıntılı olmayabilir ve örneğin, Google’ın önemli ölçüde daha yüksek ödüller verdiği bir kavram kanıtı istismarını beraberinde getirmemiş olabilir.
Sürüm durumunu kontrol edin
Chrome’un mevcut sürümleri artık Linux ve Mac için 109.0.5414.119, Windows için 109.0.5414.119/.120, Android için 109.0.5414.117/.118 ve iOS için 109.0.5414.112’dir. Mobil tarayıcılarla ilgili olarak geliştiriciler, sürümün ayrıca ayrıntılı olarak açıklanmayan kararlılık ve performans iyileştirmeleri içerdiğine dikkat çekiyor.
Güvenlik açıkları daha büyük bir tehdit oluşturuyor gibi göründüğünden, Chrome kullanıcılarının mevcut sürümü kullanıp kullanmadıklarını kontrol etmeleri gerekir. Bunu yapmak için, adres çubuğunun sağında dikey olarak yığılmış üç nokta bulunan sembole tıklayarak açılan Chrome menüsüne gitmeleri gerekir. İlgili iletişim kutusu burada “Yardım” – “Google Chrome Hakkında” altında bulunabilir. Ya mevcut sürümü gösterecek ya da bu, güncellemeyi indirmeye ve yüklemeye başlayacaktır. Son olarak, iletişim kutusu web tarayıcısının yeniden başlatılması gerektiğini belirtir ve bunu bir seçenek olarak sunar.
“Google Chrome Hakkında” iletişim kutusunun çağrılması, güncellemenin indirilip yüklenmesine başlayabilir ve son olarak tarayıcının yeniden başlatılması gerektiğini belirtir.
(Resim: Ekran Görüntüsü)
Her zaman olduğu gibi, Linux kullanıcılarının bir güncelleme için dağıtımlarının yazılım yönetimini başlatması gerekir. Güvenlik açıkları genellikle altta yatan Chromium projesinde de bulunduğundan, Microsoft Edge gibi buna dayalı diğer web tarayıcılarının da kısa süre içinde güncellenmesi gerekir.
Google, yalnızca iki hafta önce Chrome tarayıcısının 109. sürümünü yayınladı. İçinde, geliştiriciler toplam 17 güvenlik açığını kapatmıştı.
(dmk)
Haberin Sonu