Google, CVE-2024-7965 Chrome Güvenlik Açığının Aktif Olarak Sömürüldüğü Konusunda Uyardı

27.08.2024

Google, geçen hafta bir Chrome tarayıcı güncellemesinde düzeltilen bir güvenlik açığının aktif olarak istismar edildiğini yakın zamanda açıkladı. CVE-2024-7965 olarak tanımlanan bu güvenlik açığı, V8 JavaScript ve WebAssembly motorunda uygunsuz bir uygulama hatası olarak sınıflandırılmıştır.

According to the National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD), the flaw, found in Google Chrome versions prior to 128.0.6613.84, could allow a remote attacker to exploit heap corruption via a specially crafted HTML page.

Bu güvenlik açığı, "TheDog" takma adıyla bilinen bir güvenlik araştırmacısı tarafından 30 Temmuz 2024'te keşfedildi ve raporlandı. Bu keşif için araştırmacıya 11.000 dolarlık bir hata ödülü verildi. Google, CVE-2024-7965 için bir istismar bulunduğunun farkında olduğunu kabul etse de, bu açıktan yararlanan saldırıların ayrıntıları veya saldırganların kimlikleri şu anda bilinmemektedir.

Google, "CVE-2024-7965'in vahşi ortamda istismarı [...] bu sürümden sonra rapor edildi" ifadesini kullanmış olsa da, hatanın geçen hafta açıklanmasından önce bir sıfır-gün açığı olarak kullanılıp kullanılmadığı henüz netlik kazanmamıştır.

2024'ün başından bu yana, Google Chrome'da dokuz sıfır-gün güvenlik açığını ele aldı ve bunlardan üçü Pwn2Own 2024'te gösterildi. Kullanıcıların potansiyel tehditlere karşı korunmak için Windows ve macOS için Chrome sürümü 128.0.6613.84/.85'e ve Linux için 128.0.6613.84 sürümüne güncellemeleri şiddetle tavsiye edilmektedir.