Chromium 94.0.4606.54 sürümüne dayanan Edge ve Chrome tarayıcı güncellemeleri, kritik bellek UAF güvenlik açığını tamamen düzeltiyor.
Microsoft ve Google, saldırganların başarılı bir sızıntı sonrasında rastgele kod yürütmesine izin verebilecek kritik bir Chromium tabanlı UAF (Use-After-Free) güvenlik açığını yamalayan yeni Kararlı Kanal Yapıları yayınladı. Yapılan geliştirmeler Chromium 94.0.4606.54 sürümünü temel alıyor. Yeni yama, Edge için 94.0.992.31 sürümü ve Google Chrome için 94.0.4606.61 sürümünde uygulandı.
Sergei Glazunov ve Mark Brand’in yardımıyla bir Google Güvenlik mühendisi Clément Lecigne tarafından keşfedilen açık, “CVE-2021-37973” kimliğiyle biliniyor. Use-After-Free, bir uygulama dinamik bellek bölümü serbest kaldıktan sonra bellek yönetimini düzgün şekilde yürütemediğinde ortaya çıkan bir güvenlik açığı. Nihayetinde ise saldırganlar sistem üzerinde çeşitli kodları çalıştırabiliyor.
Pointer (işaretçi), uygulama tarafından kullanılan belleğin belirli bir adresiyle ilgili verileri depolamakla görevli. Ancak dinamik bellek, farklı uygulamalar tarafından kullanılmak üzere sürekli olarak temizleniyor ve yeniden alanlar tahsis ediliyor. Herhangi bir bellek alanı serbest kaldığında veya ayrılmadığında bu işaretçi null (boş) olarak ayarlanmazsa, saldırganlar artık rastgele kötü amaçlı kod iletmek ve aynı bellek bölümüne erişim elde etmek için bu işaretçi verisinden başarıyla yararlanabiliyor.
En önemlisi, Edge 94.0.992.31 ve Chrome 94.0.4606.61 sürümleriyle birlikte kritik bellek tabanlı güvenlik açığının yamalandığı garanti ediliyor. Bu nedenle kullanıcıların tarayıcılarını yeni sürümlere güncellemelerini öneriyoruz.
