Microsoft ve Google, saldırganların başarılı bir sızıntı daha sonrasında rastgele kod yürütmesine müsaade verebilecek kritik bir Chromium tabanlı UAF (Use-After-Free) güvenlik açığını yamalayan yeni Kararlı Kanal Yapıları yayınladı. Yapılan geliştirmeler Chromium 94.0.4606.54 sürümünü temel alıyor. Yeni yama, Edge için 94.0.992.31 sürümü ve Google Chrome için 94.0.4606.61 sürümünde uygulandı.
Sergei Glazunov ve Mark Brand’in sayesinde bir Google Güvenlik mühendisi Clément Lecigne tarafınca keşfedilen açık, “CVE-2021-37973” kimliğiyle biliniyor. Use-After-Free, bir uygulama dinamik bellek kısmı özgür kaldıktan daha sonra bellek idaresini düzgün biçimde yürütemediğinde ortaya çıkan bir güvenlik açığı. Nihayetinde ise saldırganlar sistem üzerinde çeşitli kodları çalıştırabiliyor.
Pointer (işaretçi), uygulama tarafınca kullanılan belleğin makul bir adresiyle ilgili dataları depolamakla nazaranvli. Fakat dinamik bellek, farklı uygulamalar tarafınca kullanılmak üzere daima olarak temizleniyor ve bir daha alanlar tahsis ediliyor. Rastgele bir bellek alanı özgür kaldığında yahut ayrılmadığında bu işaretçi null (boş) olarak ayarlanmazsa, saldırganlar artık rastgele makus hedefli kod iletmek ve birebir bellek kısmına erişim elde etmek için bu işaretçi verisinden muvaffakiyetle yararlanabiliyor.
En kıymetlisi, Edge 94.0.992.31 ve Chrome 94.0.4606.61 sürümleriyle bir arada kritik bellek tabanlı güvenlik açığının yamalandığı garanti ediliyor. Bu niçinle kullanıcıların tarayıcılarını yeni sürümlere güncellemelerini öneriyoruz.
Sergei Glazunov ve Mark Brand’in sayesinde bir Google Güvenlik mühendisi Clément Lecigne tarafınca keşfedilen açık, “CVE-2021-37973” kimliğiyle biliniyor. Use-After-Free, bir uygulama dinamik bellek kısmı özgür kaldıktan daha sonra bellek idaresini düzgün biçimde yürütemediğinde ortaya çıkan bir güvenlik açığı. Nihayetinde ise saldırganlar sistem üzerinde çeşitli kodları çalıştırabiliyor.
Pointer (işaretçi), uygulama tarafınca kullanılan belleğin makul bir adresiyle ilgili dataları depolamakla nazaranvli. Fakat dinamik bellek, farklı uygulamalar tarafınca kullanılmak üzere daima olarak temizleniyor ve bir daha alanlar tahsis ediliyor. Rastgele bir bellek alanı özgür kaldığında yahut ayrılmadığında bu işaretçi null (boş) olarak ayarlanmazsa, saldırganlar artık rastgele makus hedefli kod iletmek ve birebir bellek kısmına erişim elde etmek için bu işaretçi verisinden muvaffakiyetle yararlanabiliyor.
En kıymetlisi, Edge 94.0.992.31 ve Chrome 94.0.4606.61 sürümleriyle bir arada kritik bellek tabanlı güvenlik açığının yamalandığı garanti ediliyor. Bu niçinle kullanıcıların tarayıcılarını yeni sürümlere güncellemelerini öneriyoruz.