Chrome’a yapılan hücumların şiddetinin gitgide arttığı şu günlerde Google, artık de iki kritik hack saldırısını daha doğruladı.
Yaptığı yeni bir paylaşımda Google; bu yılın 12. Ve 13. ‘Sıfır Günü’ (Zero-Day) açıklarının (CVE-2021-37975 ve CVE-2021-37976) da bulunduğunu ve bunların Linux, macOS ve Windows kullanıcılarını etkilediğini duyurdu. Google rastgele bir düzeltme yayınlamadan evvel, bu açıkların bilgisayar korsanları tarafından bilindiği manasına geldiği için sıfır günü taarruzları epey kritik bir ehemmiyet arz ediyor. Bu da, Chrome kullanıcılarının tehlike altında olduğu manasına geliyor.
Ataklara dair şimdi pek bir detay bilinmiyor
Protokole uygun bir halde Google, Chrome kullanıcılarının yeni sürüme geçmelerine vakit sağlamak hedefiyle şimdilik her iki atağa dair bilgileri de kısıtlıyor. Bir öbür ‘Yüksek’ dereceli tehditle birlikte, şirketin taarruzlara yönelik yayınladığı tek detaylar ise şu halde:
- Yüksek — CVE-2021-37974 : İnançlı Tarama’da hür kaldıktan sonra kullanın. 2021-09-01 tarihinde Qi’anxin Group’ta Codesafe Team of Legendsec’ten Weipeng Jiang tarafından bildirildi
- Yüksek — CVE-2021-37975 : V8’de özgür kaldıktan sonra kullanın. Anonymous tarafından 2021-09-24 tarihinde bildirildi
- Orta — CVE-2021-37976 : Çekirdekte bilgi sızıntısı. 2021-09-21’de Google Project Zero’dan Sergei Glazunov ve Mark Brand’in teknik takviyesiyle Google TAG’dan Clément Lecigne tarafından bildirildi
Bilhassa de birinci sıfır günü saldırısı, son birkaç aydır bilgisayar korsanları tarafından tekraren sefer hedeflenen bir ‘Use-After-Free’ (UAF) güvenlik açığıydı. UAF güvenlik açıkları, bir program hür bırakıldıktan sonra işaretçi belleği temizleyemediğinde oluşan bellek istismarlarıdır. Eylül ve Ekim aylarında da Chrome’da çift haneli UAF taarruzları saptanmıştı.
Google, taarruzlara karş tedbir aldı
Ataklara karşılık olarak Google kritik bir güncelleme yayınladı; lakin şirket kullanıcılarını dağıtımın kademeli bir halde gerçekleşeceği, bu yüzden de herkesin kendisini çabucak anında koruyamayacağı konusunda uyardı. Korunup korunmadığınızı Ayarlar > Yardım > Google Chrome Hakkında‘ya giderek denetim edebilirsiniz. Kullandığınız Chrome sürümünün 94.0.4606.71 yahut üzerinde olması durumunda endişelenmenize gerek yok, güvendesiniz. Lakin güncelleme şimdi tarayıcınız için mevcut değilse, yapmanız gereken tek şey yeni sürümün gelip gelmediğini sistemli olarak denetim etmek.
Unutmadan belirtmekte yarar var; Chrome, güncelleme gerçekleştikten sonra bile tekrar başlatılıncaya kadar inançlı değildir. Google her ne kadar Chrome hacklerini düzeltmekte süratli olursa olsun, bilgisayar korsanları güncelleme yüklendikten sonra hala savunmasız olduklarının farkında olmayan Chrome kullanıcılarını gaye alabilir. Tam olarak bu yüzden gidip bir tarayıcınızı denetim etseniz sizin için düzgün olabilir.
