Google, vahşi doğada aktif olarak kullanılan sıfır gün güvenlik açığını düzeltmek için Chrome web tarayıcısının Windows sürümü için bir güncelleme yayınladı.
CVE-2022-2294 olarak izlenen yüksek önemdeki hata, en son Chrome derlemesiyle (103.0.5060.114) düzeltildi. BleeBilgisayar raporlar.
Google Chrome, genellikle tarayıcı kullanıcı tarafından açılır açılmaz otomatik olarak güncellenir, bu nedenle birçok yüklemenin zaten yamalanmış olması için iyi bir şans vardır. (yeni sekmede açılır). Ancak Google, yamanın geri kalanına ulaşmasının birkaç hafta sürebileceğini söylüyor.
Bu arada Google, siber suçlulara herhangi bir fikir vermemek için güvenlik açığı ve kötüye kullanımıyla ilgili ayrıntıları saklıyor. Kötü amaçlı yazılım hakkında bilgi edinmek için biraz daha beklememiz gerekecek (yeni sekmede açılır) kusurdan yararlanmak için kullanılıyor.
Google, “Hata ayrıntılarına ve bağlantılara erişim, kullanıcıların çoğu bir düzeltmeyle güncellenene kadar kısıtlı tutulabilir” dedi. “Ayrıca, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltmediği bir üçüncü taraf kitaplığında hata varsa, kısıtlamaları da koruyacağız.”
Kusurun, WebRTC (Web Gerçek Zamanlı İletişim) bileşeninde Avast’tan Jan Vojtesek tarafından keşfedilen, yüksek düzeyde yığın tabanlı bir arabellek taşması zayıflığı olduğunu biliyoruz.
Bu hatadan başarıyla yararlanmayı başaran tehdit aktörleri, programları kilitleyebilir ve etkilenen uç noktalarda rastgele kod çalıştırabilir.
Bu, Google’ın bu yıl düzelttiği ilk sıfır gün hatası değil. Aslında bu, CVE-2022-0609’dan (Şubat’ta yama uygulandı), CVE-2022-1096’dan (Mart’ta yama uygulandı) ve CVE-2022-1364’ten (Nisan’da yama uygulandı) sonra dördüncü.
Araştırmacılar, o sırada, grubun ilkinin Kuzey Kore devlet destekli aktörler tarafından kullanıldığını söyledi.
Yöneticilerin Chrome’a göz kulak olmaları ve tarayıcının bunu otomatik olarak yapmaması durumunda yamayı yüklediğinden emin olmaları önerilir.
Aracılığıyla BleeBilgisayar (yeni sekmede açılır)