hack-haber

Yeni Chrome 0 gün Aktif Saldırılar Altında – Tarayıcınızı Şimdi Güncelleyin

Windows, Mac veya Linux bilgisayarlarınızda Google Chrome tarayıcısını kullanıyorsanız, web'de gezinme yazılımınızı bugün erken saatlerde yayımlanan en son sürümle hemen güncellemeniz gerekir.

Google, hedeflenen bilgisayarları kaçırmak için saldırganlar tarafından vahşi doğada istismar edilmiş bir sıfır gün güvenlik açığı da dahil olmak üzere çeşitli güvenlik yüksek önem sorunları, yama bugün Chrome sürümü 86.0.4240.111 yayımladı.

CVE-2020-15999olarak izlenen, etkin olarak istismar güvenlik açığı Freetype yığın arabellek taşması olarak adlandırılan bellek-yolsuzluk kusur türüdür, Chrome ile paketlenmiş gelen yazı tipleri işlemek için popüler bir açık kaynak yazılım geliştirme kütüphanesi.

Güvenlik açığı 19 Ekim'de Google Project Zero'dan güvenlik araştırmacısı Sergei Glazunov tarafından keşfedildi ve rapor edildi ve kusurun aktif sömürü altında olması nedeniyle yedi günlük bir kamuyu aydınlatma süresine tabi.

Glazunov da hemen FreeType geliştiricileri için sıfır gün güvenlik açığı bildirdi, daha sonra FreeType 2.10.4 serbest bırakılması ile 20 Ekim'de sorunu gidermek için acil bir yama geliştirdi.

Google'ın Project Zero Ben Hawkes projesinin teknik lideri, güvenlik açığının teknik ayrıntılarını açıklamadan, Twitter'da, ekibin yalnızca Chrome kullanıcılarını hedefleyen bir istismar tespit etmiş olsa da, FreeType kullanan diğer projelerin de savunmasız olabileceği ve FreeType sürüm 2.10.4'te yer alan düzeltmeyi dağıtmasının tavsiye edildiği konusunda uyardı.

chrome zero day vulnerability

Hawkes yazısında, "Sadece Chrome için bir istismar görmüş olsak da, freetype'ın diğer kullanıcıları burada tartışılan düzeltmeyi benimsemelidir: https://savannah.nongnu.org/bugs/?59308 -- düzeltme de bugünkü FreeType 2.10.4 sürümünde yer alıyor." diyor.

Glazunov tarafından paylaşılan ayrıntılara göre, güvenlik açığı FreeType işlevi "Load_SBit_Png," hangi yazı tipleri içine gömülü PNG görüntüleri işler var. Sadece gömülü PNG görüntüleri ile özel olarak hazırlanmış yazı tipleri kullanarak rasgele kod yürütmek için saldırganlar tarafından istismar edilebilir.

"Sorun, libpng'in 'png_struct' olarak kaydedilen orijinal 32 bit değerleri kullanmasıdır. Bu nedenle, orijinal genişlik ve/veya yükseklik 65535'ten büyükse, ayrılan arabellek bit haritasına sığamaz." dedi.

Glazunov ayrıca kavram kanıtı istismarı içeren bir yazı tipi dosyası da yayınladı.

Google, Chrome 86.0.4240.111'i Chrome'un "kararlı" sürümü olarak yayımladı, bu sürümü sadece erken benimseyenler için değil, şirketin "CVE-2020-1599 için bir sömürü nün vahşi doğada var olduğu" yönündeki raporlardan haberdar olduğunu, ancak aktif saldırıların ayrıntılarını açıklamadığını söyledi.

FreeType sıfır gün güvenlik açığının yanı sıra Google, en son Chrome güncellemesindeki diğer dört kusuru da yamalı, bunlardan üçü yüksek riskli güvenlik açıklarıdır-Blink'te uygunsuz bir uygulama hatası, Chrome'un medyasında ücretsiz hatadan sonra kullanım ve PDFFium'daki ücretsiz hatadan sonra kullanım ve tarayıcının yazdırma işlevinde ücretsiz sorundan sonra bir orta riskli kullanım.

Chrome web tarayıcısı kullanıcıları en son kullanılabilir sürüm hakkında otomatik olarak bilgi vermesine rağmen, kullanıcıların menüden "Google Chrome Hakkında Yardım →" adresine giderek güncelleştirme işlemini el ile tetiklemeleri önerilir.



Yazar


Yorumlar Toplam Yorum Henüz yorum Yapan Yok


Yorum Yap


Scroll to Top