Google, Chrome'da, bir saldırganın hedefi kötü amaçlı bir web sayfasına çekerek yararlanabileceği bir sanal alan kaçışını yamalar.
Google, daha önce açıklanmayan veya saldırı altında olan sıfır gün kusurunu gidermek amacıyla Chrome için bir güncelleme yayınladı.
Google'a göre, CVE-2022-4135 olarak takip edilen yüksek önemdeki kusur, bellekle ilgili "GPU'daki yığın arabellek taşmasından" kaynaklanıyor.
"Google, CVE-2022-4135'e yönelik bir istismarın yaygın olarak mevcut olduğunun farkındadır." Google danışma belgesinde diyor ki.
Güvenlik
- Yüksek güvenlikli uzaktan çalışanların 8 alışkanlığı
- Telefonunuzdaki casus yazılımları bulma ve kaldırma
- En iyi VPN hizmetleri: İlk 5'in karşılaştırması nasıl?
- Bir veri ihlaline karışıp karışmadığınızı nasıl anlarsınız ve bundan sonra ne yapmalısınız?
Sorun, 22 Kasım'da Google'ın Tehdit Analiz Grubu araştırmacılarından Clement Lecigne tarafından bildirildi.
Ayrıca: Fidye yazılımı: Neden hala büyük bir tehdit ve çetelerin bundan sonra nereye gideceği
Google, düzeltmeyi önümüzdeki günlerde veya haftalarda, Mac ve Linux için 107.0.5304.121 ve Windows için 107.0.5304.121/.122 olarak güncellenen Chrome'un Stabil kanal sürümü aracılığıyla kullanıma sunacak.
Google, kullanıcıların çoğunluğu düzeltmeyle güncellenene kadar hatanın ayrıntılarını kısıtlı tutuyor.
Bununla birlikte, NIST'in Ulusal Güvenlik Açığı Veri Tabanı, daha ayrıntılı bir açıklamaya sahiptir. CVE-2022-4135Bu da bunun neden yüksek önem derecesine sahip bir kusur olduğunu açıklamaya yardımcı oluyor: uzaktaki bir saldırgan Chrome sanal alanından şu şekilde kaçabilir: Grafik oluşturucudaki güvenlik sorununu istismar edecek şekilde hazırlanmış bir web sayfasına hedef çekmek işlem.
"107.0.5304.121'den önce Google Chrome'da GPU'daki yığın arabellek taşması, uzaktaki bir saldırganın hazırlanmış bir HTML sayfası yoluyla potansiyel olarak korumalı alandan kaçış gerçekleştirmek için oluşturucu sürecini tehlikeye attı." NIST notlar.
Bleepingcomputer'a göreBu, Google'ın bu yıl Chrome'da yamaladığı, aktif olarak yararlanılan sekizinci sıfır gün oldu. Google'ın Sıfır Projesi sıfır gün takipçisiAncak 2 Eylül'de yamaladığı CVE-2022-3075 eksik olduğundan bu yıl yalnızca yedi Chrome sıfır günü sayıyor.
Sıfır gün izleyicide Chrome'u etkileyen kusurların açık ara en yaygın kategorisi bellek bozulması sorunlarıdır. Google, Chrome'un dev C++ kod tabanını bellek güvenliği kusurlarına karşı güçlendirmeye çalışıyor yığın taraması Ve MicarclPtr. Genel olarak bellek kusurları, Chrome'daki yüksek önem derecesine sahip hataların %70'ini oluşturur. Her iki sertleştirme tekniği de performans üzerinde ek yük oluşturur.
Kusurun hedefli saldırılarda kullanılması muhtemel olsa da Chrome kullanıcılarının, ZDNet kontrol edildiğinde bugün mevcut olan güncellemeyi yüklemeleri gerekiyor.
- Pixel telefonunuzun otomatik aramaları otomatik olarak reddetmesini nasıl sağlarsınız?
- Google Pixel Fold incelemesi: Samsung'un ilk büyük rakibi sallanıyor
- Önemli ölçüde daha iyi ses veren müzik için bu Pixel ayarını değiştirin
- Google Pixel Fold vs. Samsung Galaxy Z Fold 4: Hangi telefonu satın almalısınız?