Dünyaca ünlü güvenlik firması Kaspersky internet kullanıcılarını uyardı. Kaspersky, “Siber suçlular Chrome’daki bir diğer tehlikeli açıktan da faydalanıyor” ifadelerini kullanırken internette güvende kalmak için derhal tarayıcınızı güncelleyin uyarısında bulundu
Google, Windows, Mac ve Linux için bir Chrome güncellemesi yayınladı. Güncelleme, CVE-2023-3079 etiketli, yüksek seviyede bir karışıklık sorununu çözüyor. Bu açığın kullanılması sonucunda siber suçlular hedef sistemde kötü amaçlı bir kod çalıştırıp cihaz belleğini bozabiliyor. Google, bu açıktan halihazırda faydalananlar olduğunu yani tehdit kaynaklarının bunu çoktan saldırılarında kullanmış olabileceğini açıkladı.
Saldırganların tuzağına düşmemek için Chrome’u olabildiğince kısa süre içinde güncelleyin. Normalde tarayıcınız, siz uygulamayı yeniden açtığınızda güncellemeleri arka planda yükler. Uygulamayı sürekli çalıştırma ihtimaliniz yüksekse kapatıp tekrar açarak güncellemeyi etkinleştirmenizi öneririz. Gizli sekmeler hariç olmak üzere, tarayıcınızda açık olan sekmeler hemen tekrar görünecektir.
Google Chrome’daki bu güvenlik açıkları neden tehlikeli?
CVE-2021-37974 ve CVE-2021-37975, use-after-free (serbest bıraktıktan sonra kullanım – UAF) sınıfı güvenlik açıklarıdır — yığın belleğin yanlış kullanımından yararlanır ve sonuç olarak hedef bilgisayarda rastgele kod yürütülmesine neden olabilir.
Açıklardan ilki, CVE-2021-37974, kullanıcıları güvenli olmayan internet siteleri ve indirmeler hakkında uyaran bir Google Chrome alt sistemi olan Güvenli Gezinti bileşeni ile ilgilidir. Bu güvenlik açığının CVSS v3.1 önem derecesi 10 üzerinden 7,7’dir.
Bulunan ikinci güvenlik açığı, CVE-2021-37975 ise Crome’un V8 JavaScript motorunda yer alıyor. Ve bu açık, üç güvenlik açığının içinde en tehlikelisi olarak kabul ediliyor — CVSS v3.1 ölçeğinde 8,4’lük bir önem derecesine sahip ki bu da onu ‘kritik’ risk seviyesinde bir güvenlik açığı haline getiriyor. Bilinmeyen kötü niyetli kişiler, halihazırda Chrome kullanıcılarına yönelik saldırılarında bu güvenlik açığından faydalanıyor.
Üçüncü güvenlik açığı olan CVE-2021-37976’nın nedeni ise Google Chrome’un çekirdeğinin neden olduğu aşırı veriye maruz kalma. Bu açık biraz daha az tehlikeli — CVSS v3.1 ölçeğinde 7,2, ancak bu da halihazırda siber suçlular tarafından kullanılıyor.
Siber suçlular bu güvenlik açıklarından nasıl yararlanabilir?
Her üç güvenlik açığından da yararlanmak için kötü amaçlı bir internet sayfasının oluşturulması gerekiyor. Saldırganların tek ihtiyacı, güvenlik açığını kullanan bir internet sitesi oluşturmak ve kurbanları bu siteye çekmek. Sonuç olarak iki use-after-free güvenlik açığı, saldırganların sayfaya erişen yama yapılmamış Chrome kullanıcılarının bilgisayarlarında rasgele kod yürütmesine olanak tanıyor. Bu da kullanıcıların sistemlerinin ele geçirilmesine yol açabilir. Üçüncü güvenlik açığı olan CVE-2021-37976 ise, saldırganların kurbanın gizli bilgilerine erişmesini mümkün kılıyor.
Büyük olaslıkla Google, kullanıcıların çoğunun tarayıcılarını güncellemesinin ardından güvenlik açıklarına ilişkin daha fazla ayrıntı paylaşacaktır. Her durumda, güncellemeyi ertelemenin bir anlamı yok — mümkün olan en kısa sürede yapmak çok daha iyi.
Kendinizi korumanın yolları
Herkesin yapması gereken ilk şey, internet erişimi olan tüm cihazlarda tarayıcıları güncellemektir. Güncelleme genellikle tarayıcı yeniden başlatıldığında otomatik olarak yüklenir ancak birçok kullanıcı bilgisayarını uzun süre yeniden başlatmadığı için bu kullanıcıların tarayıcıları birkaç gün, hatta hafta boyunca savunmasız kalabilir. Her ihtimale karşı, kullandığınız Chrome sürümünü kontrol etmenizi öneriyoruz. Bunu şu şekilde yapabilirsiniz: Tarayıcı penceresinin sağ üst köşesindeki Google Chrome’u Özelleştir ve Kontrol Et butonuna tıklayın ve ardından Yardım -> Google Chrome Hakkında‘yı seçin. Kullandığınız tarayıcı sürümü mevcut en güncel sürüm değilse, Chrome otomatik olarak güncellemeyi başlatır.
Ekstra koruma için, kullanıcıların internet erişimi olan tüm cihazlarına güvenlik çözümleri yüklemelerini öneriyoruz. Bu şekilde, bir güvenlik açığı ortaya çıktığında güncellenmemiş bir tarayıcıya sahip olmasanız bile, proaktif koruma teknolojileri, güvenlik açığından başarılı bir şekilde yararlanma olasılığını en aza indirir.
Kurumsal bilgi güvenliği departmanları çalışanlarına da tüm cihazlarda güvenlik çözümleri kullanmalarını, güvenlik güncellemelerini takip etmelerini ve otomatik güncelleme dağıtım ve kontrol sistemi kullanmalarını öneriyoruz. Tarayıcı güncellemelerinin yüklenmesine öncelik vermek de mantıklı bir çözümdür.
Google Chrome nasıl acilen güncellenir?
Normal koşullar altında Google Chrome, güncellemeleri otomatik olarak yükler ve yüklediği güncellemeleri uygulamak için tarayıcıyı yeniden başlatmanızı ister. Ardından, genellikle menü butonunun bulunduğu tarayıcı penceresinin sağ üst köşesinde yeşil bir “Güncelle” butonu görürsünüz. Birkaç gün içinde bu buton turuncuya ve bir hafta sonra da kırmızıya döner. Tarayıcınızı bir an önce, bu uyarı renkleri görünmeden güncellemenizi öneririz.
Google Chrome’daki yeni bir güvenlik açığıyla ilgili haberleri okudunuz ancak o çok değerli “Güncelle” butonunu görünmüyorsa ne yaparsınız? Endişelenmeyin, bu çok normal — bir güncelleme yayınlandığında güncelleme butonunun görünmesi biraz zaman alabilir. Güvenlik açığı tehlikeliyse, güncellemeyi hızlı bir şekilde yüklemesi için tarayıcıyı hafifçe dürtmek ve işleri hızlandırmak en iyisidir. Endişe etmeyin bunu yapmak oldukça kolay, aşağıdaki adımları uygulamanız yeterli:
- Ekranın sağ üst köşesindeki üç noktaya tıklayın.
- Açılır listeyi gördüğünüzde, Ayarlar‘a tıklayın.
- Chrome Hakkında bölümüne gidin.
Google Chrome güncellemelerini şuradan bulabilirsiniz: Üç nokta → Ayarlar → Chrome Hakkında
Chrome güncel durumda mesajını görüyorsanız, her şey yolunda demektir ve başka bir şey yapmanıza gerek yoktur.
Mevcut bir güncelleme varsa, Chrome hemen bu güncellemeyi indirip yüklemeye başlar. Google Yardım, sürüm numarasının yanında tıklamanız gereken bir “Güncelle” butonunu görmeniz gerektiğini ancak genellikle hiçbir düğme olmadığını ve güncellemenin otomatik olarak indirilmeye başladığını ifade ediyor.
Chrome Hakkında sayfasını açtıktan sonra, tarayıcı en son güncellemeyi otomatik olarak indirir ve kurar
Güncelleme indirildiğinde, “Neredeyse güncel! Güncellemeyi tamamlamak için Google Chrome’u yeniden başlatın” mesajı ve bir Yeniden Başlat butonu görünür.
Ardından tarayıcıyı yeniden başlatmanız gerekir — aksi takdirde güncelleme uygulanmaz.
Tarayıcıyı yeniden başlattığınızda önemli şeyleri kaybedeceğinizden endişelenmeyin: Güncellemeden sonra Chrome, “Gizli” moddakiler dışında, açık olan tüm pencereleri ve sekmeleri geri yükler.
Güncellemeyi yükledikten sonra tarayıcınızı yeniden başlattığınızdan emin olun, aksi takdirde yaptığınız güncellemeler uygulanmaz
Google Chrome’u güncellemeyle ilgili sorunlar yaşıyorsanız ne yapmalısınız
Google Chrome, milyarlarca kullanıcısıyla gezegendeki en popüler tarayıcıdır. Tüm kullanıcılar aynı anda bir güncellemeyi yüklemeye çalıştığında, Google’ın tüm istekleri aynı anda işlemek için yeterli kaynağı olmayabilir. Bu bazen güncellemelerin hemen kullanılamayabileceği anlamına gelir.
Bu genellikle, tespit edilen güvenlik açığı gerçekten tehlikeli olduğunda ve güncelleme önemli olduğunda yaşanır, çünkü birçok kişinin aynı anda söz konusu güncellemeyi yüklemeye çalışır. Böyle bir şey olduğunda, biraz beklemeniz ve yukarıdaki talimatları periyodik olarak tekrarlamanız gereklidir.
Beklemek işe yaramıyorsa ve bir süredir Google Chrome’u güncelleyemiyorsanız, tarayıcı geliştiricilerinin önerilerine uymayı deneyin.