Google Pazartesi günü, Chrome web tarayıcısında vahşi doğada istismar edildiğini söylediği kritik bir güvenlik açığını gidermek için bant dışı güvenlik yamaları yayınladı.
CVE-2023-4863 olarak takip edilen sorun, WebP görüntü formatında bulunan ve keyfi kod yürütme veya çökme ile sonuçlanabilecek bir yığın arabellek taşması vakası olarak tanımlandı.
Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ve Toronto Üniversitesi Munk School’daki Citizen Lab, 6 Eylül 2023’te bu açığı keşfedip bildirmekle görevlendirildi.
Teknoloji devi henüz açığın niteliği hakkında ek ayrıntılar açıklamadı, ancak “CVE-2023-4863 için bir açığın vahşi doğada var olduğunun farkında olduğunu” belirtti.
Son düzeltmeyle birlikte Google, yıl başından bu yana Chrome’da toplam dört sıfır gün sorununu çözmüş oldu
CVE-2023-2033 (CVSS puanı: 8.8) – V8’de Tip Karışıklığı
CVE-2023-2136 (CVSS puanı: 9.6) – Skia’da tamsayı taşması
CVE-2023-3079 (CVSS puanı: 8.8) – V8’de Tip Karışıklığı
Bu gelişme, Apple’ın aşağıdaki cihazlar ve işletim sistemleri için CVE-2023-41064’ü düzeltmek üzere düzeltmeleri genişlettiği gün gerçekleşti
iOS 15.7.9 ve iPadOS 15.7.9 – iPhone 6s (tüm modeller), iPhone 7 (tüm modeller), iPhone SE (1. nesil), iPad Air 2, iPad mini (4. nesil) ve iPod touch (7. nesil)
macOS Big Sur 11.7.10 ve macOS Monterey 12.6.9
CVE-2023-41064, kötü niyetle hazırlanmış bir görüntü işlenirken rastgele kod yürütülmesine yol açabilecek Görüntü G/Ç bileşenindeki bir arabellek taşması sorunuyla ilgilidir.
Citizen Lab’a göre CVE-2023-41064’ün, iOS 16.6 çalıştıran tam yamalı iPhone’larda Pegasus’u dağıtmak için BLASTPASS adlı sıfır tıklamalı iMessage istismar zincirinin bir parçası olarak Wallet’ta bir doğrulama sorunu olan CVE-2023-41061 ile birlikte kullanıldığı söyleniyor.
Hem CVE-2023-41064 hem de CVE-2023-4863’ün görüntü işleme etrafında dönmesi ve ikincisinin Apple ve Citizen Lab tarafından rapor edilmiş olması, ikisi arasında potansiyel bir bağlantı olabileceğini göstermektedir.
Kullanıcıların olası tehditleri azaltmak için Windows için 116.0.5845.187/.188 ve macOS ve Linux için 116.0.5845.187 numaralı Chrome sürümlerine yükseltme yapmaları önerilmektedir. Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcı kullanıcılarının da düzeltmeleri kullanıma sunulduklarında uygulamaları tavsiye edilmektedir.