Google geliştiricileri haftalık Chrome güncellemesiyle web tarayıcısındaki iki güvenlik açığını kapattı. Bunlardan biri kritik risk olarak sınıflandırılmıştır: Bu nedenle kullanıcılar, gezinmeye devam etmeden önce korumalı sürümleri kullandıklarından emin olmalıdır.
Duyuru
Google programcıları bir blog yazısında Çarşamba akşamı yapılan güncellemenin iki güvenlik açığını giderdiğini açıkladı. Bunlardan biri, Chrome'un Şafak bileşeninde sınır dışı yazma potansiyelidir (CVE-2024-10487, CVSS değeri yoktur, Google'a göre risk”eleştirmen“). Dawn, WebGPU standardının Chrome'da uygulanmasıdır. Bu amaç için tasarlanmamış bellek alanlarına yazma erişimi, genellikle saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine olanak tanır. Manipüle edilmiş bir web sitesini görüntülemek bu amaç için yeterli gibi görünmektedir ve güvenlik açığına neden olmak Risk sınıflandırmasının da belirttiği gibi zor değil.
Google Chrome: Yüksek riskli güvenlik açığı
Programcılar ayrıca WebRTC uygulamasındaki serbest kullanım sonrası boşluğu da doldurdu. Saldırganlar, içeriği bu nedenle tanımlanmamış olan, halihazırda yayınlanmış kaynaklara erişebilir ve bu kaynaklar sıklıkla enjekte edilen kodu yürütmek için de kötüye kullanılabilir (CVE-2024-10488, CVSS değeri yok, Google'a göre risk “yüksek“).WebRTC, gerçek zamanlı iletişim için protokoller ve program arayüzleri içerir.
Google, Android için Chrome 130.0.6723.86, iOS için 130.0.6723.90, Linux için 130.0.6723.91 sürümü ve macOS ve Windows için 130.0.6723.91/.92 sürümüyle güvenlik açıklarını kapattı. “Genişletilmiş Kararlı” sürüm artık macOS ve Windows için 130.0.6723.92 sürümünde de korunmaktadır. Google, düzenli güncellemelerle sıklıkla maksimum önem düzeyine ulaşan güvenlik kusurlarını giderir; Kritik tehdit olarak sınıflandırılan veya hâlihazırda istismar edilen güvenlik açıkları, en son Ağustos ayı sonlarında olduğu gibi nispeten nadirdir. Bu nedenle Chrome kullanan herkesin yeni sürümleri kullandığından emin olması gerekir.
Tarayıcı sürümünüzü kontrol etme
Windows ve macOS'ta, adres çubuğunun sağındaki üç yığılmış nokta simgesini tıklayarak sürüm iletişim kutusunu açmanız ve ardından “Yardım” yoluyla “Google Chrome Hakkında” bölümüne devam etmeniz yeterlidir.
Google Chrome sürümü iletişim kutusu, çalıştırmakta olduğunuz yazılımın sürümünü gösterir ve gerekirse mevcut güncellemeleri yüklemeyi önerir.
(Resim: ekran görüntüsü / dmk)
Burada web tarayıcısı, çalışan yazılımın o anda etkin durumunu görüntüler. Güncellemeler mevcutsa bunları yükler ve tarayıcınızı yeniden başlatmanızı ister. Linux altında bu kişi genellikle kullanılan dağıtımın yazılımının yönetilmesinden sorumludur. Güncellemeler Android ve iOS'taki ilgili uygulama mağazalarında bulunabilir. Ancak tüm akıllı telefon modelleri güncellemeyi hemen almıyor; özellikle eski modellerde bu işlem birkaç güne kadar sürebilir.
Diğer web tarayıcıları da güvenlik açıklarından muaf değil: Salı günü Mozilla, Firefox ve Firefox ESR tarayıcılarının yanı sıra Thunderbird e-posta programını desteklenen sürümlerin tüm dallarında güncelledi ve bazen yüksek riskli olarak sınıflandırılan güvenlik açıklarını kapattı. Güncelleme aynı zamanda Firefox için geliştirme şubesi 132'ye geçişi de işaret ediyordu.
(Bilmiyorum)
Duyuru
Google programcıları bir blog yazısında Çarşamba akşamı yapılan güncellemenin iki güvenlik açığını giderdiğini açıkladı. Bunlardan biri, Chrome'un Şafak bileşeninde sınır dışı yazma potansiyelidir (CVE-2024-10487, CVSS değeri yoktur, Google'a göre risk”eleştirmen“). Dawn, WebGPU standardının Chrome'da uygulanmasıdır. Bu amaç için tasarlanmamış bellek alanlarına yazma erişimi, genellikle saldırganların kötü amaçlı kod enjekte etmesine ve yürütmesine olanak tanır. Manipüle edilmiş bir web sitesini görüntülemek bu amaç için yeterli gibi görünmektedir ve güvenlik açığına neden olmak Risk sınıflandırmasının da belirttiği gibi zor değil.
Google Chrome: Yüksek riskli güvenlik açığı
Programcılar ayrıca WebRTC uygulamasındaki serbest kullanım sonrası boşluğu da doldurdu. Saldırganlar, içeriği bu nedenle tanımlanmamış olan, halihazırda yayınlanmış kaynaklara erişebilir ve bu kaynaklar sıklıkla enjekte edilen kodu yürütmek için de kötüye kullanılabilir (CVE-2024-10488, CVSS değeri yok, Google'a göre risk “yüksek“).WebRTC, gerçek zamanlı iletişim için protokoller ve program arayüzleri içerir.
Google, Android için Chrome 130.0.6723.86, iOS için 130.0.6723.90, Linux için 130.0.6723.91 sürümü ve macOS ve Windows için 130.0.6723.91/.92 sürümüyle güvenlik açıklarını kapattı. “Genişletilmiş Kararlı” sürüm artık macOS ve Windows için 130.0.6723.92 sürümünde de korunmaktadır. Google, düzenli güncellemelerle sıklıkla maksimum önem düzeyine ulaşan güvenlik kusurlarını giderir; Kritik tehdit olarak sınıflandırılan veya hâlihazırda istismar edilen güvenlik açıkları, en son Ağustos ayı sonlarında olduğu gibi nispeten nadirdir. Bu nedenle Chrome kullanan herkesin yeni sürümleri kullandığından emin olması gerekir.
Tarayıcı sürümünüzü kontrol etme
Windows ve macOS'ta, adres çubuğunun sağındaki üç yığılmış nokta simgesini tıklayarak sürüm iletişim kutusunu açmanız ve ardından “Yardım” yoluyla “Google Chrome Hakkında” bölümüne devam etmeniz yeterlidir.
Google Chrome sürümü iletişim kutusu, çalıştırmakta olduğunuz yazılımın sürümünü gösterir ve gerekirse mevcut güncellemeleri yüklemeyi önerir.
(Resim: ekran görüntüsü / dmk)
Burada web tarayıcısı, çalışan yazılımın o anda etkin durumunu görüntüler. Güncellemeler mevcutsa bunları yükler ve tarayıcınızı yeniden başlatmanızı ister. Linux altında bu kişi genellikle kullanılan dağıtımın yazılımının yönetilmesinden sorumludur. Güncellemeler Android ve iOS'taki ilgili uygulama mağazalarında bulunabilir. Ancak tüm akıllı telefon modelleri güncellemeyi hemen almıyor; özellikle eski modellerde bu işlem birkaç güne kadar sürebilir.
Diğer web tarayıcıları da güvenlik açıklarından muaf değil: Salı günü Mozilla, Firefox ve Firefox ESR tarayıcılarının yanı sıra Thunderbird e-posta programını desteklenen sürümlerin tüm dallarında güncelledi ve bazen yüksek riskli olarak sınıflandırılan güvenlik açıklarını kapattı. Güncelleme aynı zamanda Firefox için geliştirme şubesi 132'ye geçişi de işaret ediyordu.
(Bilmiyorum)