Google Chrome’da yüksek önem seviyesine sahip 10 güvenlik açığı

Google, Chrome tarayıcısı için yayınladığı 100.0.4896.60 güncellemesi ile 28 güvenlik açığını kapattı. Google’ın yalnızca birkaç gün önce ayrı bir güncellemeyle yama yaptığı başka bir yüksek önem seviyesindeki sahip güvenlik açığı olan CVE-2022-1096 ile birlikte bu açıkların en az 9’u yüksek önem seviyesine sahip. Chrome geliştiricileri bir haftadan kısa bir sürede toplam 10 yüksek önemdeki güvenlik açığı için yama yayınladı. Başka bir deyişle, bir süredir bilgisayarınızı yeniden başlatmadıysanız veya tarayıcınızı yakın zamanda yeniden başlatmadıysanız, şimdi güncellemenin tam zamanı.

CVE-2022-1096 güvenlik açığı

Google, şirketin güvenlik politikasına göre tarayıcı aktif şekilde kullanan kullanıcıların çoğu tarayıcılarını güncelleyene kadar hatalarla ilgili ayrıntılı bir açıklama yapmadığı için şu ana kadar güvenlik açıklarından herhangi biri konusunda ayrıntılı bilgi paylaşmadı. Ancak, gerçek sorunlara neden olabilecek açığın, CVE-2022-1096 (Google’ın 25 Mart Cuma günü, büyük güncellemeden sadece dört gün önce ayrı bir yamayla kapattığı) güvenlik açığı olduğu ortada.

Bu açığın CVE-2022-1096, Type Confusion (tür karışıklığı) sınıfına ait olması, V8 motorunda veri türlerinin işlenmesindeki bazı hatalara bağlı olduğu anlamına geliyor. Google’ın bu hatayı bir acil durum yamasıyla ayrı şekilde ele alması gerçeğine bakılırsa, güvenlik açığı oldukça tehlikeli. Dahası, yama sürüm notlarına göre Google, 25 Mart’ta bu güvenlik açığının halihazırda kullanıldığının farkındaydı. Ertesi gün Microsoft, Chromium tabanlı Edge tarayıcısında aynı güvenlik açığını düzeltti. Şuana kadar olanları özetlersek, güvenlik açığından yararlanmanın yalnızca mümkün olmadığını, aynı zamanda saldırganlar tarafından aktif olarak da kullanıldığını varsayabiliriz

28 yeni güvenlik açığı

En son güncelleme ile ele alınan 28 güvenlik açığından çoğu (20’si) bağımsız araştırmacılar, geri kalan sekizi ise Google’ın kendi uzmanları tarafından keşfedildi. Yüksek önem düzeyine sahip dokuz güvenlik açığından dördü (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) use-after-free sınıfına ait; üç tanesi (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) çeşitli bileşenlerdeki uygunsuz uygulamalarla, bir diğeri (CVE-2022-1130) ise, WebOTP’de güvenilir olmayan giriş konusunda yetersiz doğrulamayla ve geri kalan (CVE-2022-1134) da, yukarıda bahsedilen CVE-2022-1096 gibi, V8 motorunda bir Type Confusion (tür karışıklığı) sorunyla ilgili bir açık.

Kendinizi korumanın yolları

İlk olarak, tarayıcınızı en son sürüme güncellemeniz gerekiyor — Bu yazının yazıldığı sırada son sürüm 100.0.4896.60 idi. Chrome sürümünüz daha eskiyse, tarayıcınızın otomatik olarak güncellenmememiş demektir, bu nedenle tarayıcınızı adım adım güncelleme talimatlarımızı kullanarak manuel olarak güncellemenizi öneriyoruz. Microsoft Edge kullanıyorsanız, onu da güncellemeyi unutmayın — Güncelleme, Google Chrome’da olduğu gibidir.

Ayrıca haberleri takip etmenizi ve güvenlik çözümleri, tarayıcılar, ofis paketleri ve işletim sisteminin kendisi de dahil olmak üzere en kritik programları zamanında güncellemenizi öneriyoruz.

Bununla birlikte, güvenlik açıklarından yararlanma girişimlerini otomatik olarak tespit edip, önleyebilen güvenilir güvenlik çözümleri kullanmanızı öneriyoruz, böylece resmi yamalar yayınlanmadan önce bile saldırılara karşı kendinizi koruyabilirsiniz.