Google Chrome’da Sıfır-Gün (Zero-Day) Güvenlik Açığı
Google Chrome kullanıyorsanz bu yazımı hemen dikkate alarak hemen web tarama uygulamasının en son sürümüne güncellemelisiniz. Google’ın Tehdit Analizi Grubu’ndan güvenlik araştırmacısı Clement Lecigne, geçtiğimiz ayın sonunda Chrome’da, uzaktan saldırganların rasgele kod yürütmesine ve bilgisayarların kontrolünü tamamen ele geçirmesine olanak verebilecek yüksek derecede bir güvenlik açığı olduğunu bildirdi.
CVE-2019-5786 olarak atanan güvenlik açığı, Microsoft Windows, Apple macOS ve Linux dahil olmak üzere tüm büyük işletim sistemleri için web tarama yazılımını etkilemektedir.
Bu güvenlik açığının teknik ayrıntılarını açıklamadan önce, Chrome güvenlik ekibi yalnızca sorunun, Chrome tarayıcısının FileReader bileşeninde uzaktan kod yürütme saldırılarına neden olan ücretsiz bir güvenlik açığı olduğunu söylüyor.Google, bu Zero-Day RCE güvenlik açığının, Chrome kullanıcılarını hedef alan saldırganlar tarafından etkin bir şekilde risk altında olduğu konusunda uyardı.
FileReader, web uygulamalarının bir kullanıcının bilgisayarında depolanan dosyaların içeriğini senkronize olmayan bir şekilde okumasını sağlamak üzere nesnelerini kullanarak okunacak dosyayı veya verileri belirtmek için tasarlanmış standart bir API’dir.
Kullanım sonrası güvenlik açığı, ayrıcalıklı olmayan bir kullanıcının etkilenen bir sistemde veya yazılımda ayrıcalıkları artırmasına olanak tanıyan bellekteki verilerin bozulmasına veya değiştirilmesine olanak sağlayan bir sınıf bellek bozulması hatasıdır.
FileReader bileşenindeki güvenlik açığı, yetkisi olmayan saldırganların Chrome web tarayıcısında ayrıcalıklar kazanmasına ve hedeflenen sistemde rasgele kod çalıştırmalarına olanak verebilir.
Görünüşe göre, Açığın saldırganlar tarafından kullanılabilmesi ise oldukça basit. Tek gereken, kullanıcıyı önceden hazırlanmış bir siteye yönlendirmek veya sitenin açılmasını sağlamak.Yani sitede herhangi bir yere tıklanmasına gerek yok. Sayfa açıldığı anda sisteme sızılmış olunuyor.
Güvenlik açığı için olan üncelleme paketi: Chrome 72.0.3626.121 güncellemesi Windows, Mac ve Linux isletim sistemleri için indirilebilir durumda.
Bu nedenle, sisteminizin Chrome web tarayıcısının güncellenmiş sürümünü çalıştırdığından emin olun.