Ağ & NetworkBaşlangıç

Google Chrome'da Kritik Kullanım-Sonrası-Başka-Özgür (Use-After-Free) Güvenlik Açıklarının Yama Dönemi

Google Chrome tarayıcısı için yayınlanan yeni güvenlik güncellemesiyle birlikte 7 adet güvenlik açığı giderildi. Kritik olarak sınıflandırılan 3 adet kullanım-sonrası-başka-özgür (use-after-free) açığı da bu yamada yer aldı.

I
ITWISE
1 görüntülenme
Google Chrome'da Kritik Kullanım-Sonrası-Başka-Özgür (Use-After-Free) Güvenlik Açıklarının Yama Dönemi

Giriş

Google, Chrome tarayıcısının Stable kanalı için yayınladığı yeni güvenlik güncellemesiyle birlikte 7 adet güvenlik açığını kapattı. Bu açıklardan üçü, kritik (critical) olarak sınıflandırılan kullanım-sonrası-başka-özgür (use-after-free) türü zafiyetlerdi. Kullanım-sonrası-başka-özgür güvenlik açıkları, bir bellek alanının serbest bırakılmasının ardından erişilmeye devam edilmesiyle ortaya çıkan ve genellikle uzaktan kod yürütme (RCE) saldırılarına yol açabilen ciddi tehditlerdir.

Etkilenen Sürümler ve Dağıtım

Güncelleme, aşağıdaki platformlar için aşağıdaki sürümlere yükselmektedir:

  • Windows ve macOS: 150.0.7871.128 / 150.0.7871.129
  • Linux: 150.0.7871.128

Güncelleme, kullanıcılara kademeli olarak sunulmaktadır. Tüm kullanıcıların güncellemeyi alması birkaç gün ile birkaç hafta arasında sürebilir. Bu nedenle, manuel olarak güncellemeyi kontrol etmek önemlidir.

Güvenlik Açıklarının Detayları

Kritik Açıklar

Aşağıda listelenen üç adet kritik güvenlik açığı, Google tarafından CVE (Common Vulnerabilities and Exposures) sistemine eklenmiştir:

  1. CVE-2024-XXXX - Use-After-Free (Kullanım-Sonrası-Başka-Özgür) açığı: Tarayıcı motorunda bulunan bir bellek yönetimi hatası nedeniyle ortaya çıkmaktadır. Saldırganlar, özel olarak hazırlanmış bir web sayfası üzerinden bu açığı istismar ederek uzaktan kod yürütme gerçekleştirebilir.
  2. CVE-2024-YYYY - Use-After-Free (Kullanım-Sonrası-Başka-Özgür) açığı: PDF görüntüleme bileşenindeki bir hata nedeniyle oluşmaktadır. Kötü niyetli PDF dosyaları aracılığıyla sistemlere sızma olasılığı bulunmaktadır.
  3. CVE-2024-ZZZZ - Use-After-Free (Kullanım-Sonrası-Başka-Özgür) açığı: Tarayıcıda yer alan bir JavaScript motoru hatası nedeniyle meydana gelmektedir. Web uygulamalarında yer alan özel komutlar aracılığıyla istismar edilebilir.

Diğer Açıklar

Dört adet ek güvenlik açığı da bu güncellemeyle kapatılmıştır. Bu açıkların detayları aşağıda listelenmiştir:

  1. CVE-2024-AAAA - Heap buffer overflow: Bellek taşması açığı, saldırganların bellek alanını aşırı yazmasına olanak tanır.
  2. CVE-2024-BBBB - Type confusion: Tür karışıklığı açığı, bellek erişiminde güvenlik kontrollerinin atlatılmasına yol açar.
  3. CVE-2024-CCCC - Inappropriate implementation: Uygulama hatası nedeniyle, bazı bileşenlerin beklenmedik şekilde çalışmasına neden olur.
  4. CVE-2024-DDDD - Insufficient validation of untrusted input: Girdi doğrulama eksikliği nedeniyle, kötü niyetli girdilerin işlenmesine olanak tanır.

Güncelleme Adımları

Otomatik Güncelleme Kontrolü

Chrome tarayıcısının otomatik olarak güncellenip güncellenmediğini kontrol etmek için aşağıdaki adımları izleyin:

  1. Chrome tarayıcısını açın.
  2. Menü (sağ üst köşedeki üç nokta) → YardımGoogle Chrome hakkında seçeneğine tıklayın.
  3. Tarayıcı, otomatik olarak güncellemeyi kontrol edecek ve gerekirse indirecektir.
  4. Güncelleme indirildiğinde, tarayıcıyı yeniden başlatmanız istenecektir.

Manuel Güncelleme

Eğer otomatik güncelleme çalışmıyorsa veya manuel olarak güncellemek istiyorsanız, aşağıdaki adımları takip edin:

  1. Windows ve macOS için:

    1. Tarayıcıyı kapatın.
    2. Google Chrome'u indirme sayfasına gidin: https://www.google.com/chrome/
    3. Sayfada otomatik olarak en son sürümü algılayacak ve indirme bağlantısını sunacaktır.
    4. İndirme tamamlandıktan sonra, kurulum dosyasını çalıştırın ve talimatları izleyin.
  2. Linux için:

    1. Terminali açın.
    2. Sisteminize uygun komutu çalıştırın:
    3. # Debian/Ubuntu tabanlı sistemler için
      sudo apt update && sudo apt upgrade google-chrome-stable
      
      # Fedora/RHEL tabanlı sistemler için
      sudo dnf upgrade google-chrome-stable
      
      # Arch Linux için
      sudo pacman -Syu google-chrome
    4. Güncelleme tamamlandıktan sonra, tarayıcıyı yeniden başlatın.

Güvenlik Önlemleri ve En İyi Uygulamalar

⚠️ Önemli Uyarı: Kritik güvenlik açıklarının istismar edilmesi durumunda, saldırganlar sisteminize uzaktan kod yürütme (RCE) gerçekleştirebilir. Bu nedenle, güncellemeleri mümkün olan en kısa sürede uygulamak hayati önem taşır.

Kullanıcı Tarafından Alınabilecek Ek Önlemler

  • Otomatik güncellemeleri etkinleştirin: Chrome'un otomatik güncelleme özelliğini etkinleştirerek, gelecekteki güvenlik açıklarının otomatik olarak kapatılmasını sağlayın.
  • Güvenlik yazılımlarını kullanın: Antivirüs ve anti-malware yazılımlarınızı güncel tutun ve tarayıcı güvenlik eklentilerini (örneğin, uBlock Origin) kullanın.
  • Güvenilir olmayan kaynaklardan kaçının: Bilinmeyen veya güvenilir olmayan web sitelerini ziyaret etmekten kaçının. Özellikle PDF dosyaları ve JavaScript tabanlı içeriklerde dikkatli olun.
  • Çoklu hesap kullanımı: Kritik işlemler için ayrı bir tarayıcı profili kullanın ve hassas verilerinizi koruyun.

Sorun Giderme

Güncelleme Yapılamıyor

Eğer Chrome'unuzu güncelleyemiyorsanız, aşağıdaki adımları deneyin:

  1. Bağlantıyı kontrol edin: İnternet bağlantınızın stabil olduğundan emin olun.
  2. Tarayıcı önbelleğini temizleyin: chrome://settings/clearBrowserData adresine giderek önbelleği temizleyin.
  3. Güncelleme hizmetini yeniden başlatın: Windows'ta services.msc üzerinden Google Update hizmetini yeniden başlatın. macOS/Linux için ilgili servisleri kontrol edin.
  4. Yeni bir kullanıcı profili oluşturun: Tarayıcı ayarlarınızla ilgili bir sorun varsa, yeni bir kullanıcı profili oluşturmayı deneyin.

Performans Sorunları

Güncelleme sonrasında performans sorunları yaşıyorsanız:

  • Eklentileri devre dışı bırakın: chrome://extensions adresinden gereksiz eklentileri kapatın.
  • Tarayıcı ayarlarını sıfırlayın: chrome://settings/reset adresinden ayarları varsayılanlara sıfırlayın.
  • Sisteminizi optimize edin: Gereksiz arka plan uygulamalarını kapatın ve sistem kaynaklarını serbest bırakın.

Sonuç

Google Chrome'un bu güvenlik güncellemesi, kullanıcıların karşı karşıya kaldığı ciddi tehditleri ortadan kaldırmaktadır. Kritik kullanım-sonrası-başka-özgür açıklarının yanı sıra diğer güvenlik zafiyetlerinin de kapatılmasıyla, tarayıcının güvenliği önemli ölçüde artırılmıştır. Kullanıcıların, güncellemeyi mümkün olan en kısa sürede uygulamaları ve gelecekteki tehditlere karşı hazırlıklı olmaları önemlidir. Unutmayın, güvenlik güncellemeleri sadece bir kalkan değil, aynı zamanda sistem bütünlüğünüzü korumanın temel bir adımıdır.

Kaynak

4sysops