Google, Chrome web tarayıcısındaki yüksek riskli güvenlik açıklarını kapatır. Güvenlik açıklarının ciddiyeti nedeniyle, saldırganlar güvenliği ihlal edilmiş web sitelerini potansiyel kurbanlara kötü amaçlı kod enjekte etmek için kullanabilir.
Her zaman olduğu gibi Google, güvenlikle ilgili düzeltilen hatalar hakkında ayrıntılı bilgi vermek konusunda isteksizdir. Ancak geliştiriciler, ikisi yüksek, ikisi orta riskli olmak üzere toplamda altı güvenlik açığını kapattı. Sözü edilmeyen iki boşluğun ne durumda olduğu belli değil.
Chrome Güvenlik Açığı: Büyük ödül
Örneğin, http/3’ü destekleyen bir istemci-sunucu iletim modülü olan WebTransport’taki bir güvenlik açığı, yayınlandıktan sonra kaynakları tüketir, yani içerikleri tanımsızdır. Bu tür ücretsiz kullanımdan sonra güvenlik açıkları, genellikle kaçakçılık amaçlı kötü amaçlı kod yürütmek için kullanılabilir. Google, gerçek bir tehdide işaret eden rapor için 16.000 ABD doları değerindeydi (CVE-2023-0471). CVE girişine göre, saldırganlar öbekte belleğin karıştırılmasına neden olmak için değiştirilmiş HTML sayfalarıyla bunu kötüye kullanabilir.
Aynı saldırı vektörü ve aynı olası sonuçla aynı türde bir hata, örneğin mikrofonlar ve web kameraları kullanılarak gerçek zamanlı iletişim için kullanılan WebRTC arayüzünü etkiler. Google ayrıca güvenlik açığını yüksek riskli olarak sınıflandırsa da, keşfeden Cassidy Kim’e yalnızca 3.000 ABD Doları (CVE-2023-0472) ödedi. Hata raporu ayrıca yeterince ayrıntılı olmayabilir ve örneğin, Google’ın önemli ölçüde daha yüksek ödüller sunduğu bir kavram kanıtı istismarını beraberinde getirmemiş olabilir.
Sürüm durumunu kontrol edin
Chrome’un mevcut sürümleri artık Linux ve Mac için 109.0.5414.119, Windows için 109.0.5414.119/.120, Android için 109.0.5414.117/.118 ve iOS için 109.0.5414.112’dir. Geliştiriciler, mobil tarayıcılara gelince, sürümün ayrıca ayrıntılı olarak açıklanmayan kararlılık ve performans iyileştirmeleri içerdiğine dikkat çekiyor.
Güvenlik açıkları daha büyük bir tehdit oluşturduğu için, Chrome kullanıcılarının mevcut sürümü kullanıp kullanmadıklarını kontrol etmeleri gerekir. Bunu yapmak için, adres çubuğunun sağındaki dikey olarak yığılmış üç nokta simgesine tıklayarak açılan Chrome menüsüne erişmeleri gerekir. İlgili iletişim kutusu “Yardım” – “Google Chrome Hakkında” bölümünde bulunabilir. Geçerli sürüm görüntülenecek veya güncellemenin indirilmesi ve kurulumu başlayacaktır. Son olarak, iletişim kutusu web tarayıcısının yeniden başlatılması gerektiğini belirtir ve bunu bir seçenek olarak sunar.
“Google Chrome Hakkında” iletişim kutusunu çağırmak, güncellemenin indirilmesini ve kurulmasını başlatabilir ve son olarak tarayıcının yeniden başlatılması gerektiğini gösterebilir.
(Resim: ekran görüntüsü)
Her zaman olduğu gibi, Linux kullanıcılarının bir güncelleme için dağıtımlarının yazılım yönetimini başlatmaları gerekir. Güvenlik açıkları genellikle altta yatan Chromium projesinde de bulunduğundan, Microsoft Edge gibi buna dayalı diğer web tarayıcılarının da yakında güncellenmesi gerekir.
Google, yalnızca iki hafta önce Chrome tarayıcısının 109. sürümünü yayınladı. İçinde, geliştiriciler toplam 17 güvenlik deliği tıkamıştı.
(dmk)
Haberin Sonu
Her zaman olduğu gibi Google, güvenlikle ilgili düzeltilen hatalar hakkında ayrıntılı bilgi vermek konusunda isteksizdir. Ancak geliştiriciler, ikisi yüksek, ikisi orta riskli olmak üzere toplamda altı güvenlik açığını kapattı. Sözü edilmeyen iki boşluğun ne durumda olduğu belli değil.
Chrome Güvenlik Açığı: Büyük ödül
Örneğin, http/3’ü destekleyen bir istemci-sunucu iletim modülü olan WebTransport’taki bir güvenlik açığı, yayınlandıktan sonra kaynakları tüketir, yani içerikleri tanımsızdır. Bu tür ücretsiz kullanımdan sonra güvenlik açıkları, genellikle kaçakçılık amaçlı kötü amaçlı kod yürütmek için kullanılabilir. Google, gerçek bir tehdide işaret eden rapor için 16.000 ABD doları değerindeydi (CVE-2023-0471). CVE girişine göre, saldırganlar öbekte belleğin karıştırılmasına neden olmak için değiştirilmiş HTML sayfalarıyla bunu kötüye kullanabilir.
Aynı saldırı vektörü ve aynı olası sonuçla aynı türde bir hata, örneğin mikrofonlar ve web kameraları kullanılarak gerçek zamanlı iletişim için kullanılan WebRTC arayüzünü etkiler. Google ayrıca güvenlik açığını yüksek riskli olarak sınıflandırsa da, keşfeden Cassidy Kim’e yalnızca 3.000 ABD Doları (CVE-2023-0472) ödedi. Hata raporu ayrıca yeterince ayrıntılı olmayabilir ve örneğin, Google’ın önemli ölçüde daha yüksek ödüller sunduğu bir kavram kanıtı istismarını beraberinde getirmemiş olabilir.
Sürüm durumunu kontrol edin
Chrome’un mevcut sürümleri artık Linux ve Mac için 109.0.5414.119, Windows için 109.0.5414.119/.120, Android için 109.0.5414.117/.118 ve iOS için 109.0.5414.112’dir. Geliştiriciler, mobil tarayıcılara gelince, sürümün ayrıca ayrıntılı olarak açıklanmayan kararlılık ve performans iyileştirmeleri içerdiğine dikkat çekiyor.
Güvenlik açıkları daha büyük bir tehdit oluşturduğu için, Chrome kullanıcılarının mevcut sürümü kullanıp kullanmadıklarını kontrol etmeleri gerekir. Bunu yapmak için, adres çubuğunun sağındaki dikey olarak yığılmış üç nokta simgesine tıklayarak açılan Chrome menüsüne erişmeleri gerekir. İlgili iletişim kutusu “Yardım” – “Google Chrome Hakkında” bölümünde bulunabilir. Geçerli sürüm görüntülenecek veya güncellemenin indirilmesi ve kurulumu başlayacaktır. Son olarak, iletişim kutusu web tarayıcısının yeniden başlatılması gerektiğini belirtir ve bunu bir seçenek olarak sunar.
“Google Chrome Hakkında” iletişim kutusunu çağırmak, güncellemenin indirilmesini ve kurulmasını başlatabilir ve son olarak tarayıcının yeniden başlatılması gerektiğini gösterebilir.
(Resim: ekran görüntüsü)
Her zaman olduğu gibi, Linux kullanıcılarının bir güncelleme için dağıtımlarının yazılım yönetimini başlatmaları gerekir. Güvenlik açıkları genellikle altta yatan Chromium projesinde de bulunduğundan, Microsoft Edge gibi buna dayalı diğer web tarayıcılarının da yakında güncellenmesi gerekir.
Google, yalnızca iki hafta önce Chrome tarayıcısının 109. sürümünü yayınladı. İçinde, geliştiriciler toplam 17 güvenlik deliği tıkamıştı.
(dmk)
Haberin Sonu