Google Chrome güvenlik açığı Stable Desktop üzerinde yamanmıştır. Yama, Windows için Chrome 119.0.6045.199/.200 ve Linux ve Mac için Chrome 119.0.6045.199 sürümlerinde tüm dünyadaki kullanıcılara sunulmuştur.
CVE-2023-6345 güvenlik açığı ile ilgili bir güvenlik bülteninde şirket şunları söyledi:
Google, CVE-2023-6345’in gerçek saldırılarda istismar edildiğinin farkındadır. Bültende güncellemenin dağıtılmasının birkaç gün sürebileceği belirtilse de, çoğu kullanıcı için güncelleme hemen kullanıma sunulmuştur.
Google, CVE-2023-6345’in gerçek saldırılarda istismar edildiğinin farkındadır. Bültende güncellemenin dağıtılmasının birkaç gün sürebileceği belirtilse de, çoğu kullanıcı için güncelleme hemen kullanıma sunulmuştur.
Chrome, yeni güncellemeleri otomatik olarak kontrol edecek ve bir sonraki açılıştan sonra bunları yükleyecektir.
Güvenlik açığı casus yazılım programlarında kullanılabilir
Bu yüksek riskli güvenlik açığı Skia açık kaynak 2D grafik kütüphanesindeki bir tamsayı taşması ile ilgilidir. Güvenlik açığının istismar edilmesi, çökmelerden keyfi kod çalıştırmaya kadar çeşitli riskler oluşturmaktadır (Skia, ChromeOS, Android ve Flutter gibi diğer ürünlerde de grafik motoru olarak kullanılmaktadır).
Hata 24 Kasım Cuma günü rapor edildi. Google’ın Tehdit Analiz Grubu’ndan (TAG) güvenlik araştırmacıları Benoit Sevens ve Clement Lecigne tarafından rapor edildi.
TAG, gazetecileri ve muhalif politikacıları hedef alan casusluk kampanyalarında hükümet yanlısı bilgisayar korsanlığı grupları tarafından sıklıkla kullanılan sıfırıncı gün tehditlerini tespit eder.
Güvenlik açığının ayrıntıları, çoğu kullanıcı cihazlarını güncelleyene kadar açıklanmayacaktır. Güvenlik açığı üçüncü taraf yazılımları etkiliyorsa, gizlilik daha uzun süre korunacaktır.
Google kaydetti:
Hata ayrıntılarına ve bağlantılarına erişim, çoğu kullanıcı bir düzeltme içeren bir güncelleme alana kadar kısıtlanabilir. Hatanın, diğer projelerin de benzer şekilde bağımlı olduğu ancak henüz düzeltilmemiş bir üçüncü taraf kütüphanesinde bulunması durumunda da kısıtlamaları koruyacağız.
Bilgi saklama politikası, saldırganların güvenlik açığıyla ilgili teknik bilgilerden yararlanarak kendi CVE-2023-6345 açıklarını geliştirme olasılığını azaltır.
Eylül ayında Google, saldırılarda kullanılan iki sıfır gün açığı (CVE-2023-5217 ve CVE-2023-4863) daha keşfetti. Bunlar bu yıl keşfedilen dördüncü ve beşinci sıfır gün açıkları oldu.
