Google, Kullanıcılarını Hack Hücumlarına Karşı Uyardı

Chrome’a yapılan atakların şiddetinin gitgide arttığı şu günlerde Google, artık de iki kritik hack saldırısını daha doğruladı.

Yaptığı yeni bir paylaşımda Google; bu yılın 12. Ve 13. ‘Sıfır Günü’ (Zero-Day) açıklarının (CVE-2021-37975 ve CVE-2021-37976) da bulunduğunu ve bunların Linux, macOS ve Windows kullanıcılarını etkilediğini duyurdu. Google rastgele bir düzeltme yayınlamadan evvel, bu açıkların bilgisayar korsanları tarafından bilindiği manasına geldiği için sıfır günü atakları oldukça kritik bir kıymet arz ediyor. Bu da, Chrome kullanıcılarının tehlike altında olduğu manasına geliyor.

Saldırılara dair şimdi pek bir detay bilinmiyor

Protokole uygun bir halde Google, Chrome kullanıcılarının yeni sürüme geçmelerine vakit sağlamak hedefiyle şimdilik her iki atağa dair bilgileri de kısıtlıyor. Bir öbür ‘Yüksek’ dereceli tehditle birlikte, şirketin taarruzlara yönelik yayınladığı tek detaylar ise şu halde:

• Yüksek — CVE-2021-37974 : İnançlı Tarama’da hür kaldıktan sonra kullanın. 2021-09-01 tarihinde Qi’anxin Group’ta Codesafe Team of Legendsec’ten Weipeng Jiang tarafından bildirildi
• Yüksek — CVE-2021-37975 : V8’de hür kaldıktan sonra kullanın. Anonymous tarafından 2021-09-24 tarihinde bildirildi
• Orta — CVE-2021-37976 : Çekirdekte bilgi sızıntısı. 2021-09-21’de Google Project Zero’dan Sergei Glazunov ve Mark Brand’in teknik takviyesiyle Google TAG’dan Clément Lecigne tarafından bildirildi

Özellikle de birinci sıfır günü saldırısı, son birkaç aydır bilgisayar korsanları tarafından tekraren kere hedeflenen bir ‘Use-After-Free’ (UAF) güvenlik açığıydı. UAF güvenlik açıkları, bir program özgür bırakıldıktan sonra işaretçi belleği temizleyemediğinde oluşan bellek istismarlarıdır. Eylül ve Ekim aylarında da Chrome’da çift haneli UAF akınları saptanmıştı.

Google, taarruzlara karş tedbir aldı

Saldırılara karşılık olarak Google kritik bir güncelleme yayınladı; lakin şirket kullanıcılarını dağıtımın kademeli bir formda gerçekleşeceği, bu yüzden de herkesin kendisini çabucak anında koruyamayacağı konusunda uyardı. Korunup korunmadığınızı Ayarlar > Yardım > Google Chrome Hakkında‘ya giderek denetim edebilirsiniz. Kullandığınız Chrome sürümünün 94.0.4606.71 yahut üzerinde olması durumunda endişelenmenize gerek yok, güvendesiniz. Fakat güncelleme şimdi tarayıcınız için mevcut değilse, yapmanız gereken tek şey yeni sürümün gelip gelmediğini düzenli olarak denetim etmek.

Unutmadan belirtmekte yarar var; Chrome, güncelleme gerçekleştikten sonra bile yeniden başlatılıncaya kadar inançlı değildir. Google her ne kadar Chrome hacklerini düzeltmekte süratli olursa olsun, bilgisayar korsanları güncelleme yüklendikten sonra hala savunmasız olduklarının farkında olmayan Chrome kullanıcılarını amaç alabilir. Tam olarak bu yüzden gidip bir tarayıcınızı denetim etseniz sizin için uygun olabilir.