Google Chrome, Google’ın akıllı telefonlardaki tarayıcısının yanı sıra Windows, Mac ve Linux bilgisayarları için önemli güvenlik düzeltmeleriyle güncellendi. Güncelleme, popüler tarayıcıdaki toplam on güvenlik açığını düzeltir. Google, bir danışma belgesinde, güncellenmiş Chrome tarayıcısının önümüzdeki günlerde kullanıma sunulacağını söyledi. Şirket, kullanıcıların güncellemeyi cihazlarına sunulur sunulmaz yüklemelerini tavsiye ediyor. Ancak şirket, kullanıcıların çoğu en son sürüme güncellenene kadar hatalarla ilgili tüm ayrıntıları açıklamasını kısıtladı. Google’a göre, diğer projelerin bağlı olduğu ve henüz bir düzeltme yoluyla ele alınmamış herhangi bir üçüncü taraf kitaplığında benzer kusurların varlığı tespit edilirse, bu bilgiler ayrıca saklanacaktır.
Google, sürüm notlarında, arama devi, ele alınan on güvenlik açığından ‘yüksek önemdeki’ hatalardan altısını listeliyor; bu, kullanıcıların cihazlarının kötüye kullanım riskine maruz kalmasını önlemek için güncellemeleri mümkün olan en kısa sürede uygulamalarının tavsiye edildiği anlamına geliyor.
Güvenlik açıkları, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla “yığın bozulmasından” yararlanmasına izin verebilir. Bellek bozulması genellikle bir bilgisayar programında programlama hataları nedeniyle oluşur ve bozuk bellek içeriği, program çökmelerine veya etkilenen uygulamada beklenmeyen davranışlara neden olabilir.
Birinci ve ikinci yığın bozulması güvenlik açıkları, Google Chrome ve Chromium web tarayıcılarına güç sağlayan açık kaynaklı JavaScript motoru olan V8’deki ve Google’daki Konuşma Tanıma’daki güvenlik kusurlarını temsil eden CVE-2022-3885 ve CVE-2022-3886 ile belirtilir. Sırasıyla Chrome.
Üçüncü güvenlik açığı CVE-2022-3887 olarak kaydedildi ve komut dosyalarının arka planda çalışmasına izin veren bir özellik olan Web Workers’ı etkiliyor. Bu arada, CVE-2022-3888, Google Chrome’daki WebCodecs API’sini etkiler.
Google ayrıca, Chrome’daki tarayıcının V8 motoruna yanlış kod sağlayan CVE-2022-3889 güvenlik açığını azaltırken, CVE-2022-3890, tarayıcıyı izole etmek için kullanılan “korumalı alan” güvenlik önlemlerinden kaçmak için uzak saldırganlar tarafından kullanılabilir. Crashpad kullanarak kritik sistem bileşenlerinden.
Bu arada firma, güvenlik açıklarını sorumlu bir şekilde ifşa eden ve Google’ın zamanında düzeltmesine izin veren harici güvenlik araştırmacılarına kredi verdi ve onları ödüllendirdi. Şirket, onları keşfeden araştırmacılara 21.000$’a kadar (kabaca 17.15.000 Rs.) ödül ödedi.