- 10 Ağu 2022
- 168
- 100
Google Perşembe günü, Chrome web tarayıcısında bir başka sıfır günlük kusuru gidermek için yazılım güncellemeleri yayınladı.
CVE-2022-4135 olarak izlenen yüksek önem düzeyindeki güvenlik açığı, GPU bileşeninde yığın arabellek taşması olarak tanımlanmıştır. Google'ın Tehdit Analizi Grubu'ndan (TAG) Clement Lecigne, kusuru 22 Kasım 2022'de bildirdiği için kredilendirildi.
Yığın tabanlı arabellek taşması hataları, bir programı çökertmek veya rastgele kod yürütmek için tehdit aktörleri tarafından silahlandırılabilir ve bu da istenmeyen davranışlara neden olabilir.
NIST'İN Ulusal Güvenlik Açığı Veritabanına göre, kusur, "oluşturucu sürecini tehlikeye atan uzaktaki bir saldırganın, hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak bir sanal alan kaçışı gerçekleştirmesine izin verebilir."
Teknoloji devi bir tavsiyede, "Google, CVE-2022-4135 için bir istismarın var olduğunun farkında" dedi.
Ancak, aktif olarak kullanılan diğer sorunlar gibi, kullanıcıların çoğunluğu bir düzeltme ile güncellenene ve daha fazla kötüye kullanımı önleyene kadar teknik özellikler saklı tutulmuştur.
En son güncellemeyle Google, yılın başından bu yana Chrome'daki sekiz sıfır günlük güvenlik açığını çözdü -
CVE-2022-0609 - Animasyonda kullanım sonrası ücretsiz
CVE-2022-1096 - V8'de tür karışıklığı
CVE-2022-1364 - V8'de tür karışıklığı
CVE-2022-2294 - Webrtc'de yığın arabelleği taşması
CVE-2022-2856 - Niyetlerde güvenilmeyen girdinin yetersiz doğrulanması
CVE-2022-3075 - Mojo'da yetersiz veri doğrulaması
CVE-2022-3723 - V8'de tür karışıklığı
Kullanıcıların macOS ve Linux için 107.0.5304.121 sürümüne ve 107.0.5304.121 / sürümüne yükseltmeleri önerilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunulduklarında ve kullanıma sunulduklarında uygulamaları önerilir.
CVE-2022-4135 olarak izlenen yüksek önem düzeyindeki güvenlik açığı, GPU bileşeninde yığın arabellek taşması olarak tanımlanmıştır. Google'ın Tehdit Analizi Grubu'ndan (TAG) Clement Lecigne, kusuru 22 Kasım 2022'de bildirdiği için kredilendirildi.
Yığın tabanlı arabellek taşması hataları, bir programı çökertmek veya rastgele kod yürütmek için tehdit aktörleri tarafından silahlandırılabilir ve bu da istenmeyen davranışlara neden olabilir.
NIST'İN Ulusal Güvenlik Açığı Veritabanına göre, kusur, "oluşturucu sürecini tehlikeye atan uzaktaki bir saldırganın, hazırlanmış bir HTML sayfası aracılığıyla potansiyel olarak bir sanal alan kaçışı gerçekleştirmesine izin verebilir."
Teknoloji devi bir tavsiyede, "Google, CVE-2022-4135 için bir istismarın var olduğunun farkında" dedi.
Ancak, aktif olarak kullanılan diğer sorunlar gibi, kullanıcıların çoğunluğu bir düzeltme ile güncellenene ve daha fazla kötüye kullanımı önleyene kadar teknik özellikler saklı tutulmuştur.
En son güncellemeyle Google, yılın başından bu yana Chrome'daki sekiz sıfır günlük güvenlik açığını çözdü -
CVE-2022-0609 - Animasyonda kullanım sonrası ücretsiz
CVE-2022-1096 - V8'de tür karışıklığı
CVE-2022-1364 - V8'de tür karışıklığı
CVE-2022-2294 - Webrtc'de yığın arabelleği taşması
CVE-2022-2856 - Niyetlerde güvenilmeyen girdinin yetersiz doğrulanması
CVE-2022-3075 - Mojo'da yetersiz veri doğrulaması
CVE-2022-3723 - V8'de tür karışıklığı
Kullanıcıların macOS ve Linux için 107.0.5304.121 sürümüne ve 107.0.5304.121 / sürümüne yükseltmeleri önerilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunulduklarında ve kullanıma sunulduklarında uygulamaları önerilir.