Google, bu yıl Chrome için üçüncü acil durum düzeltmesi yayınladı. En son yama, aktif olarak istismar edilen bir tür karışıklığı güvenlik açığına yöneliktir. Google, Chrome web tarayıcısındaki iki güvenlik açığı için düzeltmeler yayınlıyor ve bu güvenlik açıklarından biri halihazırda vahşi ortamda istismar ediliyor.
Şirketin bu hafta yayınladığı acil durum güncellemeleri , Chrome tarayıcısının yaklaşık üç milyar kullanıcısını ve Microsoft Edge, Brave ve Vivaldi gibi diğer Chromium tabanlı tarayıcıları kullananları etkiliyor.
Bu, Google'ın bu yıl Chrome için yayınlamak zorunda kaldığı üçüncü acil durum güncellemesidir.
Kusurlardan biri, saldırganlar tarafından aktif olarak kötüye kullanılan, yüksek önemde, sıfır gün hatası olan CVE-2022-1364 olarak izlenen bir tür karışıklığı güvenlik açığıdır. Bir tür karışıklığı kusuruyla, bir program bir işaretçi veya nesne gibi bir kaynağı bir tür kullanarak tahsis eder, ancak daha sonra kaynağa uyumsuz başka bir tür kullanarak erişir. C ve C++ gibi bazı dillerde, güvenlik açığı sınır dışı bellek erişimiyle sonuçlanabilir.
Bu uyumsuzluk, bir tarayıcının çökmesine veya mantıksal hataları tetiklemesine neden olabilir. İsteğe bağlı kod yürütmek için potansiyel olarak kullanılabilir.
İnternet Güvenliği Merkezi'ne göre, "Uygulamayla ilişkili ayrıcalıklara bağlı olarak, bir saldırgan verileri görüntüleyebilir, değiştirebilir veya silebilir" . "Bu uygulama sistemde daha az kullanıcı haklarına sahip olacak şekilde yapılandırılmışsa, bu güvenlik açığından en ciddi şekilde yararlanılması, yönetici haklarıyla yapılandırılmasına göre daha az etki yaratabilir."
Google, uyarısında, tarayıcıda kullanılan JavaScript motorunu etkileyen, Chromium V8'deki bir tür karışıklık olan güvenlik açığını tanımlar.
Google'ın Tehdit Analizi Grubu'nun (TAG) bir parçası olan Clement Lecigne, 13 Nisan'da güvenlik açığını bildirdi ve şirket aynı gün düzeltmeyi duyurdu.
Şirket, uyarıda "Google, CVE-2022-1364 için bir açıktan yararlanmanın doğada var olduğunun farkında" diye yazdı.
Artık çerez açılır pencerelerini otomatik olarak tıklamak için AI destekli tarayıcı uzantısı vaat ediliyor. Google, yanlış bilgilerle mücadele etmek için arama özelliklerini kullanıma sunuyor. Microsoft, Edge'in Internet Explorer modunu günceller. Microsoft, kolay Windows tarayıcı seçimi eksikliği konusunda geri adım attı. Google yetkilileri, kullanıcıların çoğunluğunun Chrome'u Windows, Linux ve Mac platformlarında 100.0.4896.127 sürümüne getirecek olan düzeltmeyle güncellenene kadar hatayla ilgili bilgi ve bağlantıların kısıtlandığını söyleyerek kusurla ilgili pek fazla ayrıntı yayınlamadı. . Ayrıca, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltmediği bir üçüncü taraf kitaplığında hata varsa, kısıtlamaları koruyacaklarını da söylediler.
Chrome güncellemeleri, tarayıcı kapatılıp yeniden başlatıldığında Chrome bunları otomatik olarak yükleyerek önümüzdeki günlerde ve haftalarda uygulanacaktır.
Google, bu tür acil durum düzeltmeleri yayınlamaya alışmalıdır. Mart ayında hem Google hem de Microsoft , Chromium V8 JavaScript motorunda aktif olarak kullanılan bir güvenlik açığını gidermek için güncellemeler yayınladı . CVE-2022-1096 olarak izlenen bu güvenlik açığı, Chrome, Edge ve diğer tarayıcılarda da yüksek önemde bir hataydı.
Bir ay önce, Google tehdit araştırmacıları, 4 Ocak gibi erken bir tarihte istismar edildiğini söyleyerek o sırada kötüye kullanılan bir kusur buldular. TAG ekibi Mart ayındaki bir raporda , Kuzey Kore merkezli iki tehdit grubunun bir Chrome'daki uzaktan kod yürütme (RCE) güvenlik açığı, Operation Dream Job ve Operation AppleJeus adlı kampanyalarda CVE-2022-0609 olarak izlendi.
Araştırmacılar, diğer ülkelerdeki diğer şirketlerin de hedef alınmış olabileceğini söylese de, saldırılar haber medyası, BT, finansal teknoloji ve kripto para birimi gibi sektörlerdeki ABD merkezli kuruluşlara odaklandı.