Google, yılın başından beri saldırılarda kullanılan dördüncü krom sıfır gün güvenlik açığını düzeltmek için acil güvenlik güncellemeleri yayınladı.
Pazartesi günü yayınlanan bir güvenlik danışmanında, "Google, CVE-2023-4863 için bir istismarın var olduğunun farkında."
Yeni sürüm şu anda kararlı ve genişletilmiş kararlı kanallardaki kullanıcılara yayılıyor ve önümüzdeki günlerde veya haftalarda tüm kullanıcı tabanına ulaşacağı tahmin ediliyor.
Chrome kullanıcılarına, web tarayıcısını 116.0.5845.187 (Mac ve Linux) ve 116.0.5845.187/.188 (Windows) sürümüne yükseltmeleri tavsiye edilir, çünkü CVE-2023-4863 Güvenlik Açığı Windows, MAC ve Gorcegnerity'yi yamaladığı için ve Linux Sistemleri.
Bu güncelleme, BleepingComputer Google Chrome hakkında Chrome Menüsü> Yardım> aracılığıyla yeni güncellemeler için kontrol edildiğinde hemen kullanılabilir.
Web tarayıcısı ayrıca yeni güncellemeleri kontrol eder ve yeniden başlattıktan sonra kullanıcı etkileşimi gerektirmeden otomatik olarak yükler.
Kritik sıfır gün güvenlik açığı (CVE-2023-4863), etkisi kazalardan keyfi kod yürütülmesine kadar değişen bir WebP yığın tamponu taşma zayıflığından kaynaklanır.
Hata, 6 Eylül Çarşamba günü Toronto Üniversitesi Munk Okulu'nda Apple Güvenlik Mühendisliği ve Mimarlığı (SEAR) ve Citizen Lab tarafından bildirildi.
Citizen Lab güvenlik araştırmacıları, muhalefet politikacıları, gazeteciler ve muhalifler gibi yüksek riskli bireyleri hedefleyen hükümet destekli tehdit aktörleri tarafından büyük hedefli casus yazılım saldırılarında istismar edilen sıfır günlük hataları sık sık buldular ve açıklamışlardır.
Perşembe günü Apple, Citizen Lab tarafından NSO Group'un Pegasus paralı casus yazılımıyla tam olarak paketlenmiş iPhone'ları enfekte etmek için BlastPass olarak bilinen bir istismar zincirinin bir parçası olarak saldırılarda kullanıldığı için etiketlenen iki sıfır gününü yamaladı.
Google, CVE-2023-4863 sıfır gününün vahşi doğada kullanıldığını söylerken, şirket bu saldırılarla ilgili daha fazla ayrıntı paylaşmadı.
Google, "Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir." Dedi. Diyerek şöyle devam etti: "Diğer projelerin benzer şekilde bağımlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız."
Bu, Chrome kullanıcılarının ek teknik özelliklerin piyasaya sürülmesinden önce tarayıcılarını saldırıları engellemek için güncelleyebileceği anlamına gelir, bu da daha fazla tehdit aktörlerinin kendi istismarlarını oluşturmasına ve vahşi doğada dağıtmasına izin verebilir.
Google Haftalık Krom Güvenlik Güncellemeleri ile Hacker'la savaşmak için
Notepad ++ 8.5.7 Dört güvenlik açığı için düzeltmelerle yayınlandı
Cisco, fidye yazılımı çeteleri tarafından sömürülen VPN sıfır gününü uyarıyor
Atlas VPN Sıfır Gün Güvenlik Açığı Kullanıcıların Gerçek IP Adresini Sızıyor
Winrar Zero-Day Nisan ayından bu yana Ticaret Hesaplarını Hacklemek
Kaynak: Bleeping Computer