Google Çarşamba günü Chrome tarayıcısında aktif olarak istismar edilen yeni bir Zero-Day Güvenlik açığına yönelik düzeltmeleri kullanıma sundu.
CVE-2023-5217 olarak takip edilen yüksek önem derecesine sahip güvenlik açığı, Google ve Alliance for Open Media’nın (AOMedia) ücretsiz bir yazılım video codec kütüphanesi olan libvpx‘deki VP8 sıkıştırma formatında yığın tabanlı bir arabellek taşması olarak tanımlandı.
Bu tür arabellek taşması kusurlarının istismar edilmesi, programın çökmesine veya keyfi kodun yürütülmesine neden olarak kullanılabilirliğini ve bütünlüğünü etkiliyor.
Google’ın Tehdit Analiz Grubu’ndan (TAG) Clément Lecigne, 25 Eylül 2023’te bu açığı keşfedip bildirmekle görevlendirilmiş, araştırmacı Maddie Stone da X’te (eski adıyla Twitter) bu açığın ticari bir casus yazılım satıcısı tarafından yüksek riskli kişileri hedef almak için kötüye kullanıldığını belirtmiştir.
Teknoloji devi tarafından “CVE-2023-5217 için bir istismarın doğada var olduğunun farkında olduğunu” kabul etmek dışında hiçbir ek ayrıntı açıklanmadı.
Son keşifle birlikte Google Chrome’da bu yıl yaması yayınlanan Zero-Day güvenlik açığı sayısı beşe yükseldi.
-CVE-2023-2033 (CVSS puanı: 8.8) – V8’de tür karışıklığı
-CVE-2023-2136 (CVSS puanı: 9.6) – Skia’da tamsayı taşması
-CVE-2023-3079 (CVSS puanı: 8.8) – V8’de tür karışıklığı
-CVE-2023-4863 (CVSS puanı: 8.8) – WebP’de yığın arabellek taşması
Ayrıca İsrailli casus yazılım üreticisi Cytrox’un yakın zamanda yamalanan bir Chrome açığını (CVE-2023-4762, CVSS skoru: 8.8) Predator’u yaymak için Zero-Day olarak kullanmış olabileceğinden şüpheleniliyor, ancak şu anda saldırılar hakkında çok az bilgi mevcut.
Bu gelişme, Google’ın libwebp görüntü kütüphanesindeki kritik kusura (başlangıçta CVE-2023-4863 olarak izlenen) yeni bir CVE tanımlayıcısı olan CVE-2023-5129‘u atamasıyla ortaya çıktı.
Kullanıcıların olası tehditleri azaltmak için Windows, macOS ve Linux için Chrome 117.0.5938.132 sürümüne yükseltme yapmaları önerilmektedir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunulduklarında uygulamaları tavsiye edilmektedir.
Güncelleme#
Mozilla Perşembe günü CVE-2023-5217’yi düzeltmek için Firefox güncellemelerini yayınladı ve “saldırgan tarafından kontrol edilen bir VP8 medya akışının özel olarak ele alınmasının içerik işleminde bir yığın arabellek taşmasına yol açabileceğini” belirtti. Sorun Firefox 118.0.1, Firefox ESR 115.3.1, Android için Firefox Focus 118.1 ve Android için Firefox 118.1 sürümlerinde çözülmüştür.
