Chrome’u güncelleme zamanı geldi ve bir kez daha, üst üste üçüncü ay için Google, dünyanın en popüler masaüstü tarayıcısında önceden bilinmeyen iki “Sıfır Gün” hatasını düzeltti.
Google, Windows, Mac ve Linux için Chrome “95.0.4638.69” sürümünün kararlı sürümüne ilişkin sürüm notlarındaki iki yüksek önem derecesine sahip sıfır gün kusurunu yamaladığını açıkladı. Bundan daha yüksek herhangi bir sürüm numarası düzeltmelere yakın zamanda sahip olacaktır.
Google’ın, yamalar kullanıma sunulduğunda Chrome’un otomatik olarak güncellenecek şekilde nasıl ayarlanabileceğini açıklayan Chrome güncellemeleri için destek sayfasına göz atmak iyi bir fikirdir. Aksi takdirde, Chrome’da bir güncelleme en az bir haftalıksa, yüklenmesi gerektiğini belirten Kırmızı renkli bir ‘GÜNCELLE’ düğmesinin gelmesi söz konusu.
Şu anda saldırganlar tarafından istismar edilen iki sıfır gün kusuru, CVE-2021-38000 ve CVE-2021-38003 tanımlayıcılarıyla izleniyor. Her ikisi de, devlet destekli ve siber suçlar istismar faaliyetlerini izleyen Google’ın Tehdit Analizi Grubu (TAG) tarafından bulundu.
26 Ekim’de Google Project Zero’dan Samuel GROß tarafından ikinci hata rapor edildi ve bu, Google’ın sıfır gün keşiflerine ne kadar hızlı yanıt verdiğini gösteriyor.
CVE-2021-38000, “Amaçlarda güvenilmeyen girdilerin yetersiz doğrulanması” nedeniyle bir tasarım hatasıdır. TAG tarafından 15 Eylül’de bildirilmiştir.
Google Project Zero’nun sıfır gün izleyicisine göre bir bellek bozulması hatası olan CVE-2021-38003, belirsiz bir şekilde “V8’de uygunsuz uygulama” olarak tanımlanıyor. V8, Chrom’un Groß’un ek korumalı alan korumalarıyla desteklemeyi umduğu güçlü JavaScript motorudur. Önerisinde belirttiği gibi, V8 hataları, saldırganların mevcut güvenlik teknolojileriyle hafifletilmesi zor olan “olağandışı güçlü açıkla” oluşturmasına olanak tanır.
Google, sürüm notlarında “Google, CVE-2021-38000 ve CVE-2021-38003 için açıklardan yararlanmanın doğada var olduğunun farkındadır” dedi. Google’a göre güncelleme önümüzdeki günlerde veya haftalarda yayınlanacak.
Bu Chrome güncellemesinde, çoğunlukla bellekle ilgili sekiz güvenlik düzeltmesi vardır. Şu anda listelenen yüksek önemdeki kusurlar arasında Oturum Açma’da ücretsiz kullanım, Chrome’un çöp toplamasında başka bir ücretsiz kullanım sonrası kullanım, Chrome’un Yeni Sekme sayfasında yetersiz veri doğrulama, V8’de bir tür karışıklığı ve kullanım sonrası kullanım yer alıyor.
Bu Chrome sürümü, Google’ın bu yıl Chrome’da yamaladığı 14. Sıfır gün kusurunu işaret ediyor. 10’uncusu, iki sıfır günü yamaladığı zaman Eylül ayının ortalarındaydı. Eylül sonunda iki sıfır gün daha ve Perşembe günü iki tanesi daha ekledi.
Google, istismarları herhangi bir hacker grubuna bağlamadı.
Google’ın 2021’de Chrome’da alışılmadık derecede yüksek sayıda sıfır gün kusuru düzeltmesi çeşitli şekillerde yorumlanabilir. Ne kadar çok şey keşfedilirse ve güncellemeler yoluyla o kadar hızlı düzeltilirse, son kullanıcılar için iyidir. Yama yapıldıktan sonra, istismar daha az değerlidir. Bu, savunucuların sıfır günleri tespit etmede daha iyi hale geldiği anlamına gelebilir.
Öte yandan, Google Project Zero, geçen yıl Chrome, Windows ve İOS gibi büyük platformları etkileyen hatalarda bir artış gördü. Bunun nedeni, sıfırıncı gün istismar pazarının ticarileştirilmesi olabilir ve aksi takdirde geliştirilmesi gereken becerilerin elde edilmesi için bir kısa yol sağlayabilir.
Konuyla ilgili diğer yazımıza ulaşmak için tıklayabilirsiniz: