Google, 2022'nin Sekizinci Chrome Sıfır Günü Yamalarını Yapıyor
Google’ın Şükran Günü’nde duyurduğu acil bir Chrome güncellemesi, popüler tarayıcıda aktif olarak istismar edilen bir sıfır günü ele alıyor.
CVE-2022-4135 olarak izlenen yüksek önem dereceli güvenlik açığı, Chrome’un GPU bileşeninde yığın arabellek taşması olarak tanımlanıyor.
İnternet devi, “Google, vahşi ortamda CVE-2022-4135 için bir istismar olduğunun farkındadır” diyor.
Bir Ulusal Güvenlik Açığı Veritabanı danışma belgesi, güvenlik kusurunun “oluşturucu sürecini tehlikeye atan uzak bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak bir sanal alan kaçışı gerçekleştirmesine” izin verebileceğini açıklıyor.
Tipik olarak çökmelere yol açan yığın tabanlı arabellek taşması güvenlik açıkları, programı sonsuz bir döngüye sokarak hizmet reddi (DoS) koşullarına neden olmak için kullanılabilir.
Saldırganlar, rastgele kod yürütmek veya mevcut koruma mekanizmalarını atlamak için arabellek taşmalarından da yararlanabilir.
Google’ın Tehdit Analizi Grubundan Clement Lecigne, 22 Kasım’da güvenlik açığını bildirdiği için kredilendirildi. Yama iki gün sonra duyuruldu.
Ancak internet devi, hata ve gözlemlenen istismar girişimleri hakkında daha fazla ayrıntı paylaşmadı ve bilgilerin çoğu kullanıcı mevcut yamaları yükledikten sonra yayınlanabileceğine işaret etti.
En son Chrome güncellemesi şimdi Mac ve Linux için 107.0.5304.121 sürümü ve Windows için 107.0.5304.121/.122 sürümü olarak kullanıma sunuluyor.
CVE-2022-4135, bu yıl çözülmesi gereken sekizinci Chrome sıfır günüdür. Google , saldırı altında olan iki sıfır günü çözmek için Ekim ve Eylül aylarında iki Chrome acil durum güncellemesi daha yayınladı.
Kaynak:
https://www.securityweek.com/google-patches-eighth-chrome-zero-day-2022