Google, bir hafta içinde Chrome'un istismar edilen üçüncü sıfır gününü düzeltti (CVE-2024-4947)

Google, bir hafta içinde Chrome’un istismar edilen üçüncü sıfır gününü düzeltti (CVE-2024-4947)

CVE-2024-4947

Son yedi gün içinde üçüncü kez Google, Chrome’da bir istismarın mevcut olduğu bir sıfır gün güvenlik açığını (CVE-2024-4947) düzeltti.

CVE-2024-4947 Hakkında

CVE-2024-4947 bir tip karışıklığı Chrome’un JavaScript ve WebAssembly motoru V8’deki güvenlik açığı.

Geçtiğimiz birkaç gün içinde tespit edilen ve adı bilinmeyen bir araştırmacıya atfedilen bu olay, bu kez muhabirlerin çevresinde biliniyor: Kaspersky tehdit araştırmacıları Vasiliy Berdnikov ve Boris Larin.

Google genellikle düzeltilen güvenlik açıklarının ayrıntılarını paylaşmaz ve hatta kendileri için mevcut istismardan yararlanılıp yararlanılmadığını söylemekten kaçınır. Yine de Berdnikov ve Larin, Kaspersky’nin Küresel Araştırma ve Analiz Ekibi’nde araştırmacı olarak çalıştıkları için, güvenlik açığının aktif olarak istismar edildiğini fark etme olasılıkları yüksek.

CVE-2024-4947 düzeltildi… Chrome 125.0.6422.60/.61 (Windows ve Mac için) ve 125.0.6422.60 (Linux için) ile birlikte üç ek güvenlik açığı.

“Bu güvenlik açıklarından en ciddisinin başarıyla kullanılması, oturum açmış kullanıcı bağlamında rastgele kod yürütülmesine olanak verebilir. Kullanıcıyla ilişkili ayrıcalıklara bağlı olarak saldırgan, programları yükleyebilir; verileri görüntüleme, değiştirme veya silme; veya tam kullanıcı haklarına sahip yeni hesaplar oluşturun” CIS yorum yaptı.

“Hesapları sistemde daha az kullanıcı hakkına sahip olacak şekilde yapılandırılmış kullanıcılar, yönetici kullanıcı haklarıyla çalışan kullanıcılara göre daha az etkilenebilir.”

Microsoft, Brave ve Opera, düzeltmeyi Chromium tabanlı tarayıcılarına uygulamak için çalışırken, Vivaldi’nin en son masaüstü sürümü de çalışıyor.