güvenlik açıkları
Google, Chrome tarayıcısındaki CVE-2021-37974, CVE-2021-37975 ve CVE-2021-37976 güvenlik açıklarını kapatan bir acil durum güncellemesi yayınladı. Google uzmanları, güvenlik açıklarından birini kritik, diğer ikisini ise oldukça tehlikeli olarak değerlendiriyor.
Daha da kötüsü: Google’a göre siber suçlular halihazırda bu üç güvenlik açığının ikisinden faydalanıyor. Bu nedenle Google, tüm Chrome kullanıcılarına tarayıcılarını acilen 94.0.4606.71 sürümüne güncellemeleri tavsiyesinde bulunuyor. Bu güvenlik açıkları, Chromium motorunu kullanan diğer tarayıcıları da ilgilendiriyor; örneğin, Microsoft, Edge’in 94.0.992.38 sürümüne güncellenmesini öneriliyor.
Google Chrome’daki bu güvenlik açıkları neden tehlikeli?
CVE-2021-37974 ve CVE-2021-37975, use-after-free (serbest bıraktıktan sonra kullanım – UAF) sınıfı güvenlik açıklarıdır — yığın belleğin yanlış kullanımından yararlanır ve sonuç olarak hedef bilgisayarda rastgele kod yürütülmesine neden olabilir.
Açıklardan ilki, CVE-2021-37974, kullanıcıları güvenli olmayan internet siteleri ve indirmeler hakkında uyaran bir Google Chrome alt sistemi olan Güvenli Gezinti bileşeni ile ilgilidir. Bu güvenlik açığının CVSS v3.1 önem derecesi 10 üzerinden 7,7’dir.
Bulunan ikinci güvenlik açığı, CVE-2021-37975 ise Crome’un V8 JavaScript motorunda yer alıyor. Ve bu açık, üç güvenlik açığının içinde en tehlikelisi olarak kabul ediliyor — CVSS v3.1 ölçeğinde 8,4’lük bir önem derecesine sahip ki bu da onu ‘kritik’ risk seviyesinde bir güvenlik açığı haline getiriyor. Bilinmeyen kötü niyetli kişiler, halihazırda Chrome kullanıcılarına yönelik saldırılarında bu güvenlik açığından faydalanıyor.
Üçüncü güvenlik açığı olan CVE-2021-37976’nın nedeni ise Google Chrome’un çekirdeğinin neden olduğu aşırı veriye maruz kalma. Bu açık biraz daha az tehlikeli — CVSS v3.1 ölçeğinde 7,2, ancak bu da halihazırda siber suçlular tarafından kullanılıyor.
Siber suçlular bu güvenlik açıklarından nasıl yararlanabilir?
Her üç güvenlik açığından da yararlanmak için kötü amaçlı bir internet sayfasının oluşturulması gerekiyor. Saldırganların tek ihtiyacı, güvenlik açığını kullanan bir internet sitesi oluşturmak ve kurbanları bu siteye çekmek. Sonuç olarak iki use-after-free güvenlik açığı, saldırganların sayfaya erişen yama yapılmamış Chrome kullanıcılarının bilgisayarlarında rasgele kod yürütmesine olanak tanıyor. Bu da kullanıcıların sistemlerinin ele geçirilmesine yol açabilir. Üçüncü güvenlik açığı olan CVE-2021-37976 ise, saldırganların kurbanın gizli bilgilerine erişmesini mümkün kılıyor.
Büyük olaslıkla Google, kullanıcıların çoğunun tarayıcılarını güncellemesinin ardından güvenlik açıklarına ilişkin daha fazla ayrıntı paylaşacaktır. Her durumda, güncellemeyi ertelemenin bir anlamı yok — mümkün olan en kısa sürede yapmak çok daha iyi.
Kendinizi korumanın yolları
Herkesin yapması gereken ilk şey, internet erişimi olan tüm cihazlarda tarayıcıları güncellemektir. Güncelleme genellikle tarayıcı yeniden başlatıldığında otomatik olarak yüklenir ancak birçok kullanıcı bilgisayarını uzun süre yeniden başlatmadığı için bu kullanıcıların tarayıcıları birkaç gün, hatta hafta boyunca savunmasız kalabilir. Her ihtimale karşı, kullandığınız Chrome sürümünü kontrol etmenizi öneriyoruz. Bunu şu şekilde yapabilirsiniz: Tarayıcı penceresinin sağ üst köşesindeki Google Chrome’u Özelleştir ve Kontrol Et butonuna tıklayın ve ardından Yardım -> Google Chrome Hakkında‘yı seçin. Kullandığınız tarayıcı sürümü mevcut en güncel sürüm değilse, Chrome otomatik olarak güncellemeyi başlatır.
Ekstra koruma için, kullanıcıların internet erişimi olan tüm cihazlarına güvenlik çözümleri yüklemelerini öneriyoruz. Bu şekilde, bir güvenlik açığı ortaya çıktığında güncellenmemiş bir tarayıcıya sahip olmasanız bile, proaktif koruma teknolojileri, güvenlik açığından başarılı bir şekilde yararlanma olasılığını en aza indirir.
Kurumsal bilgi güvenliği departmanları çalışanlarına da tüm cihazlarda güvenlik çözümleri kullanmalarını, güvenlik güncellemelerini takip etmelerini ve otomatik güncelleme dağıtım ve kontrol sistemi kullanmalarını öneriyoruz. Tarayıcı güncellemelerinin yüklenmesine öncelik vermek de mantıklı bir çözümdür.
