Google geliştiricileri Chrome web tarayıcısının haftalık güncellemesini kaçırdılar. Yüksek riskli olarak sınıflandırılan dört güvenlik açığına yönelik hata düzeltmeleri içerir. Bu nedenle Chrome kullanıyorsanız en kısa sürede yeni sürümü kullandığınızdan emin olmalısınız.
Duyuru
Şirket, verilecek hata ödülü miktarına henüz karar vermedi. Ancak sürümün duyurusunda Google geliştiricileri, FedCM bileşeninde beklenen sınırların dışında belleğe erişimin mümkün olduğunu açıklıyor. Hata açıklamasına göre, saldırganlar hazırlanmış HTML sayfalarını kullanarak işleme sürecini tehlikeye atabilir ve belirtilen sınırların dışında bellek okuyabilir (CVE-2023-4761, CVSS değeri yok, risk”)yüksek“).
Google Chrome: dört yüksek riskli güvenlik açığı
Ayrıca saldırganlar, Javascript V8 motorundaki tür karışıklığı güvenlik açığını kötüye kullanarak kötü amaçlı kod (CVE-2023-4762, CVSS değeri yok, yüksek). Bu tür bir güvenlik açığında, gerçek veri türleri program kodunda beklenenlerle eşleşmez ve bu da, tahsis edilen alanların dışında bellek erişimlerine yol açabilir.
Ayrıca, Chrome’un ağ kodundaki serbest kullanım sonrası güvenlik açığı nedeniyle, saldırganlar yığında bellek şifrelemesini etkinleştirebilir ve bunu kod kaçakçılığı için kötüye kullanabilir (CVE-2023-4763, CVSS değeri yok, yüksek). Saldırganlar, güvenliği ihlal edilmiş web sitelerinde Omnibox adı verilen adres çubuğunun içeriğini taklit etmek için Chrome’un BFCache bileşenindeki bir güvenlik açığından yararlanabilir (CVE-2023-4764, CVSS değeri yok, yüksek).
Tarayıcının mevcut ve korumalı sürümleri Android için 116.0.5845.172, iOS için 116.0.5845.177, Linux ve macOS için 116.0.5845.179 ve Windows için 116.0.5845.179/.180’dir. Google programcıları, genişletilmiş kararlı sürümlerin de macOS için 116.0.5845.179 ve Windows için 116.0.5845.180 olmak üzere yeni bir sürüme güncellendiğini ekliyor.
Tarayıcı sürümünüzü kontrol etme
Duyuru
Sürüm iletişim kutusunu çağırarak tarayıcınızın güncel olup olmadığını kontrol edebilirsiniz. Tarayıcı adres çubuğunun sağındaki üç noktalı simgeye tıklandığında açılan ayarlar menüsünde bulunur. “Yardım” – “Google Chrome Hakkında” aracılığıyla başlatılabilir.
Güncelleme işlemi tamamlandıktan sonra Google Chrome sürüm iletişim kutusu, güncellenen yazılımı etkinleştirmek için web tarayıcınızı yeniden başlatmanızı ister.
(Resim: ekran görüntüsü / dmk)
Sürüm iletişim kutusu, tarayıcının o anda çalışan sürümünü gösterir ve gerekirse bir güncelleme varsa güncelleme işlemini başlatır. Sonunda iletişim kutusu tarayıcınızı yeniden başlatmanız gerekip gerekmediğini de sorar. Linux’un mevcut sürümü genellikle yöneticilerin başlatması ve güncellemeleri kontrol etmesi gereken dağıtımla ilgili yazılımın yönetilmesinden sorumludur.
Güvenlik açıkları aynı zamanda temel Chromium projesini de etkilediğinden, onu temel alan tarayıcı üreticilerinin yakın zamanda güncellemeler sunması muhtemeldir. Buna Microsoft’un Edge tarayıcısı da dahildir. Geçen haftaki Chrome güncellemesi yalnızca bir yüksek riskli güvenlik açığını kapattı.
(Bilmiyorum)
Haberin Sonu
Duyuru
Şirket, verilecek hata ödülü miktarına henüz karar vermedi. Ancak sürümün duyurusunda Google geliştiricileri, FedCM bileşeninde beklenen sınırların dışında belleğe erişimin mümkün olduğunu açıklıyor. Hata açıklamasına göre, saldırganlar hazırlanmış HTML sayfalarını kullanarak işleme sürecini tehlikeye atabilir ve belirtilen sınırların dışında bellek okuyabilir (CVE-2023-4761, CVSS değeri yok, risk”)yüksek“).
Google Chrome: dört yüksek riskli güvenlik açığı
Ayrıca saldırganlar, Javascript V8 motorundaki tür karışıklığı güvenlik açığını kötüye kullanarak kötü amaçlı kod (CVE-2023-4762, CVSS değeri yok, yüksek). Bu tür bir güvenlik açığında, gerçek veri türleri program kodunda beklenenlerle eşleşmez ve bu da, tahsis edilen alanların dışında bellek erişimlerine yol açabilir.
Ayrıca, Chrome’un ağ kodundaki serbest kullanım sonrası güvenlik açığı nedeniyle, saldırganlar yığında bellek şifrelemesini etkinleştirebilir ve bunu kod kaçakçılığı için kötüye kullanabilir (CVE-2023-4763, CVSS değeri yok, yüksek). Saldırganlar, güvenliği ihlal edilmiş web sitelerinde Omnibox adı verilen adres çubuğunun içeriğini taklit etmek için Chrome’un BFCache bileşenindeki bir güvenlik açığından yararlanabilir (CVE-2023-4764, CVSS değeri yok, yüksek).
Tarayıcının mevcut ve korumalı sürümleri Android için 116.0.5845.172, iOS için 116.0.5845.177, Linux ve macOS için 116.0.5845.179 ve Windows için 116.0.5845.179/.180’dir. Google programcıları, genişletilmiş kararlı sürümlerin de macOS için 116.0.5845.179 ve Windows için 116.0.5845.180 olmak üzere yeni bir sürüme güncellendiğini ekliyor.
Tarayıcı sürümünüzü kontrol etme
Duyuru
Sürüm iletişim kutusunu çağırarak tarayıcınızın güncel olup olmadığını kontrol edebilirsiniz. Tarayıcı adres çubuğunun sağındaki üç noktalı simgeye tıklandığında açılan ayarlar menüsünde bulunur. “Yardım” – “Google Chrome Hakkında” aracılığıyla başlatılabilir.
Güncelleme işlemi tamamlandıktan sonra Google Chrome sürüm iletişim kutusu, güncellenen yazılımı etkinleştirmek için web tarayıcınızı yeniden başlatmanızı ister.
(Resim: ekran görüntüsü / dmk)
Sürüm iletişim kutusu, tarayıcının o anda çalışan sürümünü gösterir ve gerekirse bir güncelleme varsa güncelleme işlemini başlatır. Sonunda iletişim kutusu tarayıcınızı yeniden başlatmanız gerekip gerekmediğini de sorar. Linux’un mevcut sürümü genellikle yöneticilerin başlatması ve güncellemeleri kontrol etmesi gereken dağıtımla ilgili yazılımın yönetilmesinden sorumludur.
Güvenlik açıkları aynı zamanda temel Chromium projesini de etkilediğinden, onu temel alan tarayıcı üreticilerinin yakın zamanda güncellemeler sunması muhtemeldir. Buna Microsoft’un Edge tarayıcısı da dahildir. Geçen haftaki Chrome güncellemesi yalnızca bir yüksek riskli güvenlik açığını kapattı.
(Bilmiyorum)
Haberin Sonu