Google Chrome'daki 31 Mayıs 2024'de Açıklanan Çoklu Güvenlik Açıkları
1 Haziran 2024
31 Mayıs 2024'te Google, Google Chrome'daki çeşitli kritik güvenlik açıklarını gidermek için güncellemeler yayınladı; bunların en ciddileri rastgele kod yürütülmesine izin verebilir. Bu güvenlik açıkları, WebRTC, Dawn, Media Session, Sunum API'si ve Streams API dahil olmak üzere tarayıcının çeşitli bileşenlerinde keşfedildi. Güvenlik açıkları çeşitli güvenlik araştırmacıları tarafından rapor edildi ve CVE-2024-5493 ile CVE-2024-5499 arasında değişen CVE numaraları atandı..
Güvenlik Açıklarına Genel Bakış
CVE-2024-5493: Heap Buffer Overflow in WebRTC
Cassidy Kim tarafından bildirilen bu güvenlik açığı, WebRTC'deki yığın arabellek taşmasından kaynaklanmaktadır. Saldırganın oturum açmış kullanıcı bağlamında rasgele kod çalıştırmasına olanak tanıyarak programların yüklenmesine, verilerin görüntülenmesine, değiştirilmesine veya silinmesine ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturulmasına yol açabilir..
CVE-2024-5494: Use After Free in Dawn
Cassidy Kim tarafından da bildirilen bu güvenlik açığı, Dawn'da serbest bırakıldıktan sonra kullanılabilen bir sorundur. Saldırganın, oturum açan kullanıcının bağlamında rastgele kod yürütebilecek kötü amaçlı bir HTML sayfası oluşturarak bu güvenlik açığından yararlanmasına olanak tanır..
CVE-2024-5495: Use After Free in Dawn
Wgslfuzz tarafından bildirilen bu güvenlik açığı, Dawn'daki bir başka serbest kullanım sonrası sorundur. Saldırganın, oturum açan kullanıcının bağlamında rastgele kod yürütebilecek kötü amaçlı bir HTML sayfası oluşturarak bu güvenlik açığından yararlanmasına olanak tanır..
CVE-2024-5496: Use After Free in Media Session
Wgslfuzz tarafından bildirilen bu güvenlik açığı, Media Session'da serbest kullanımdan sonra ortaya çıkan bir sorundur. Saldırganın, oturum açan kullanıcının bağlamında rastgele kod yürütebilecek kötü amaçlı bir HTML sayfası oluşturarak bu güvenlik açığından yararlanmasına olanak tanır..
CVE-2024-5497: Out of Bounds Memory Access in Keyboard Inputs
Ant Group Tianqiong Güvenlik Laboratuvarı'ndan zh1x1an1221 tarafından bildirilen bu güvenlik açığı, Klavye Girişlerinde sınır dışı bellek erişimidir. Saldırganın, oturum açan kullanıcının bağlamında rastgele kod yürütebilecek kötü amaçlı bir HTML sayfası oluşturarak bu güvenlik açığından yararlanmasına olanak tanır..
CVE-2024-5498: Use After Free in Presentation API
Anymous tarafından bildirilen bu güvenlik açığı, Sunum API'sindeki serbest kullanım sonrası bir sorundur. Saldırganın, oturum açan kullanıcının bağlamında rastgele kod yürütebilecek kötü amaçlı bir HTML sayfası oluşturarak bu güvenlik açığından yararlanmasına olanak tanır..
CVE-2024-5499: Out of Bounds Write in Streams API
Anonim tarafından bildirilen bu güvenlik açığı, Streams API'sinde sınırların dışında bir yazma işlemidir. Saldırganın oturum açmış kullanıcı bağlamında rasgele kod çalıştırmasına olanak tanıyarak programların yüklenmesine, verilerin görüntülenmesine, değiştirilmesine veya silinmesine ya da tam kullanıcı haklarına sahip yeni hesaplar oluşturulmasına yol açabilir..
Etki ve Öneriler
Bu güvenlik açıkları, bir saldırganın oturum açmış kullanıcı bağlamında rastgele kod yürütmesine olanak tanıyarak önemli güvenlik risklerine yol açabilir. Kullanıcıların, uygun testlerin ardından Google tarafından sağlanan en son güncellemeleri savunmasız sistemlere hemen uygulamaları önerilir. Ayrıca parolaları değiştirmek, yerel hesapları yalnızca parola kimlik doğrulamasıyla tanımlamak ve yerel hesapların parola kimlik doğrulamasıyla VPN'ye bağlanmasını engellemek gibi ek güvenlik önlemlerinin uygulanması, bu güvenlik açıklarıyla ilişkili risklerin azaltılmasına yardımcı olabilir..
Çözüm
Google Chrome'da yapılan son güncellemeler, rastgele kod yürütülmesine izin verebilecek çeşitli kritik güvenlik açıklarını gideriyor. Bu güvenlik açıkları, devam eden güvenlik araştırmalarının önemini ve kullanıcıların en son güvenlik yamalarıyla güncel kalma ihtiyacını vurgulamaktadır. Kullanıcılar, bu güncellemeleri uygulayarak ve ek güvenlik önlemlerini uygulayarak, kötüye kullanım riskini önemli ölçüde azaltabilir ve sistemlerini potansiyel tehditlere karşı koruyabilir.
Referanslar
Google Chrome Sürümleri. (2024, 31 Mayıs). Masaüstü Güncellemesi için Chrome Dev. https://chromereleases.googleblog.com adresinden alındı
CIS Güvenlik. (2024, 31 Mayıs). Google Chrome'daki Çoklu Güvenlik Açıkları Rastgele Kod Yürütülmesine İzin Verebilir. https://www.cisecurity.org/advisory/multiple-vulneraibility-in-google-chrome-could-allow-for-arbitrary-code-execution_2024-064 adresinden alındı.