OzzTech - Google Chrome Sıfır Gün Hatasını Düzeltti

Google Chrome Sıfır Gün Hatasını Düzeltti

Sıfır Gün

Chrome’u güncelleme zamanı geldi ve bir kez daha, üst üste üçüncü ay için Google, dünyanın en popüler masaüstü tarayıcısında önceden bilinmeyen iki “Sıfır Gün” hatasını düzeltti.

Google, Windows, Mac ve Linux için Chrome “95.0.4638.69” sürümünün kararlı sürümüne ilişkin sürüm notlarındaki iki yüksek önem derecesine sahip sıfır gün kusurunu yamaladığını açıkladı. Bundan daha yüksek herhangi bir sürüm numarası düzeltmelere yakın zamanda sahip olacaktır.

Google’ın, yamalar kullanıma sunulduğunda Chrome’un otomatik olarak güncellenecek şekilde nasıl ayarlanabileceğini açıklayan Chrome güncellemeleri için destek sayfasına göz atmak iyi bir fikirdir. Aksi takdirde, Chrome’da bir güncelleme en az bir haftalıksa, yüklenmesi gerektiğini belirten Kırmızı renkli bir ‘GÜNCELLE’ düğmesinin gelmesi söz konusu.

Şu anda saldırganlar tarafından istismar edilen iki sıfır gün kusuru, CVE-2021-38000 ve CVE-2021-38003 tanımlayıcılarıyla izleniyor. Her ikisi de, devlet destekli ve siber suçlar istismar faaliyetlerini izleyen Google’ın Tehdit Analizi Grubu (TAG) tarafından bulundu.

26 Ekim’de Google Project Zero’dan Samuel GROß tarafından ikinci hata rapor edildi ve bu, Google’ın sıfır gün keşiflerine ne kadar hızlı yanıt verdiğini gösteriyor.

CVE-2021-38000, “Amaçlarda güvenilmeyen girdilerin yetersiz doğrulanması” nedeniyle bir tasarım hatasıdır. TAG tarafından 15 Eylül’de bildirilmiştir.

Google Project Zero’nun sıfır gün izleyicisine göre bir bellek bozulması hatası olan CVE-2021-38003, belirsiz bir şekilde “V8’de uygunsuz uygulama” olarak tanımlanıyor. V8, Chrom’un Groß’un ek korumalı alan korumalarıyla desteklemeyi umduğu güçlü JavaScript motorudur. Önerisinde belirttiği gibi, V8 hataları, saldırganların mevcut güvenlik teknolojileriyle hafifletilmesi zor olan “olağandışı güçlü açıkla” oluşturmasına olanak tanır.

Google, sürüm notlarında “Google, CVE-2021-38000 ve CVE-2021-38003 için açıklardan yararlanmanın doğada var olduğunun farkındadır” dedi. Google’a göre güncelleme önümüzdeki günlerde veya haftalarda yayınlanacak.

Bu Chrome güncellemesinde, çoğunlukla bellekle ilgili sekiz güvenlik düzeltmesi vardır. Şu anda listelenen yüksek önemdeki kusurlar arasında Oturum Açma’da ücretsiz kullanım, Chrome’un çöp toplamasında başka bir ücretsiz kullanım sonrası kullanım, Chrome’un Yeni Sekme sayfasında yetersiz veri doğrulama, V8’de bir tür karışıklığı ve kullanım sonrası kullanım yer alıyor.

Bu Chrome sürümü, Google’ın bu yıl Chrome’da yamaladığı 14. Sıfır gün kusurunu işaret ediyor. 10’uncusu, iki sıfır günü yamaladığı zaman Eylül ayının ortalarındaydı. Eylül sonunda iki sıfır gün daha ve Perşembe günü iki tanesi daha ekledi.

Google, istismarları herhangi bir hacker grubuna bağlamadı.

Google’ın 2021’de Chrome’da alışılmadık derecede yüksek sayıda sıfır gün kusuru düzeltmesi çeşitli şekillerde yorumlanabilir. Ne kadar çok şey keşfedilirse ve güncellemeler yoluyla o kadar hızlı düzeltilirse, son kullanıcılar için iyidir. Yama yapıldıktan sonra, istismar daha az değerlidir. Bu, savunucuların sıfır günleri tespit etmede daha iyi hale geldiği anlamına gelebilir.

Öte yandan, Google Project Zero, geçen yıl Chrome, Windows ve İOS gibi büyük platformları etkileyen hatalarda bir artış gördü. Bunun nedeni, sıfırıncı gün istismar pazarının ticarileştirilmesi olabilir ve aksi takdirde geliştirilmesi gereken becerilerin elde edilmesi için bir kısa yol sağlayabilir.

Konuyla ilgili diğer yazımıza ulaşmak için tıklayabilirsiniz:


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.