Chrome’a yapılan akınların şiddetinin gitgide arttığı şu günlerde Google, artık de iki kritik hack saldırısını daha doğruladı.
Yaptığı yeni bir paylaşımda Google; bu yılın 12. Ve 13. ‘Sıfır Günü’ (Zero-Day) açıklarının (CVE-2021-37975 ve CVE-2021-37976) da bulunduğunu ve bunların Linux, macOS ve Windows kullanıcılarını etkilediğini duyurdu. Google rastgele bir düzeltme yayınlamadan evvel, bu açıkların bilgisayar korsanları tarafından bilindiği manasına geldiği için sıfır günü akınları epey kritik bir ehemmiyet arz ediyor. Bu da, Chrome kullanıcılarının tehlike altında olduğu manasına geliyor.
Hücumlara dair şimdi pek bir detay bilinmiyor
Protokole uygun bir halde Google, Chrome kullanıcılarının yeni sürüme geçmelerine vakit sağlamak gayesiyle şimdilik her iki atağa dair bilgileri de kısıtlıyor. Bir öteki ‘Yüksek’ dereceli tehditle birlikte, şirketin taarruzlara yönelik yayınladığı tek detaylar ise şu formda:
- Yüksek — CVE-2021-37974 : İnançlı Tarama’da özgür kaldıktan sonra kullanın. 2021-09-01 tarihinde Qi’anxin Group’ta Codesafe Team of Legendsec’ten Weipeng Jiang tarafından bildirildi
- Yüksek — CVE-2021-37975 : V8’de hür kaldıktan sonra kullanın. Anonymous tarafından 2021-09-24 tarihinde bildirildi
- Orta — CVE-2021-37976 : Çekirdekte bilgi sızıntısı. 2021-09-21’de Google Project Zero’dan Sergei Glazunov ve Mark Brand’in teknik takviyesiyle Google TAG’dan Clément Lecigne tarafından bildirildi
Bilhassa de birinci sıfır günü saldırısı, son birkaç aydır bilgisayar korsanları tarafından tekraren kere hedeflenen bir ‘Use-After-Free’ (UAF) güvenlik açığıydı. UAF güvenlik açıkları, bir program hür bırakıldıktan sonra işaretçi belleği temizleyemediğinde oluşan bellek istismarlarıdır. Eylül ve Ekim aylarında da Chrome’da çift haneli UAF hücumları saptanmıştı.
Google, hücumlara karş tedbir aldı
Hücumlara karşılık olarak Google kritik bir güncelleme yayınladı; lakin şirket kullanıcılarını dağıtımın kademeli bir halde gerçekleşeceği, bu yüzden de herkesin kendisini çabucak anında koruyamayacağı konusunda uyardı. Korunup korunmadığınızı Ayarlar > Yardım > Google Chrome Hakkında‘ya giderek denetim edebilirsiniz. Kullandığınız Chrome sürümünün 94.0.4606.71 yahut üzerinde olması durumunda endişelenmenize gerek yok, güvendesiniz. Lakin güncelleme şimdi tarayıcınız için mevcut değilse, yapmanız gereken tek şey yeni sürümün gelip gelmediğini nizamlı olarak denetim etmek.
Unutmadan belirtmekte yarar var; Chrome, güncelleme gerçekleştikten sonra bile yine başlatılıncaya kadar inançlı değildir. Google her ne kadar Chrome hacklerini düzeltmekte süratli olursa olsun, bilgisayar korsanları güncelleme yüklendikten sonra hala savunmasız olduklarının farkında olmayan Chrome kullanıcılarını gaye alabilir. Tam olarak bu yüzden gidip bir tarayıcınızı denetim etseniz sizin için yeterli olabilir.
