Google, Chrome tarayıcısında, ticari bir satıcının hedef sistemlere gözetleme yazılımı bırakmak için aktif olarak kullandığı sıfır gün güvenlik açığını düzeltti.
Bu, Google’ın son günlerde casusluk faaliyetleriyle bağlantılı olarak açıkladığı üçüncü Chrome sıfır gün hatasıdır.
Bellek Bozulması Güvenlik Açıkları
Google’ın CVE-2023-5217 olarak izlediği yeni arabellek taşması sorunu, Chrome’un kullandığı bir yazılım kitaplığında video sıkıştırma biçiminin uygulanmasından kaynaklanıyor. Bu kusur uzaktan istismar edilebilir ve saldırganlara, kötü amaçla hazırlanmış bir HTML sayfası aracılığıyla yığın belleğini değiştirerek hedef sistemde uzaktan kod yürütme olanağı sağlar. Google Chrome’un 117.0.5938.132’den önceki sürümlerinde ve libvpx kitaplığının 1.13.1’den önceki sürümlerinde mevcuttur.
Google’ın Chrome ekibi, şirketin Tehdit Analiz Grubu’nun (TAG) bir üyesinin 25 Eylül’de sıfır gün tehdidini keşfedip bildirdiği için itibar etti. Şirket, 27 Eylül’de bunun için bir yama yayınladı. Eski adıyla Twitter olan X’teki bir gönderide, TAG güvenlik araştırmacısı Maddie Stone hatayı anlattı yamanın yayınlandığı sırada ticari bir gözetim satıcısının istismar ettiği sıfır gün olarak.
Stone’un tweet’inde satıcının adı belirtilmedi, ancak son günlerde Google, Intellexa adlı bir gözetleme sağlayıcısının önceki Chrome sıfır gününü (CVE-2023-4762) kullanarak Predator adlı bir casusluk aracını hedef Android cihazlara bıraktığını belirtti. Mısır. Google, bir güvenlik araştırmacısının şirkete tehdit hakkında bilgi vermesinin ardından 5 Eylül’de bu hatayı düzeltti.
Sıfır Günler Fırtınası
CVE-2023-5217 aslında Google’ın bu yıl Chrome’da açıkladığı altıncı sıfır gün güvenlik açığıdır. Bu, şirketin casusluk faaliyetleriyle bağlantılı görünen bu ay yama yapmak için acele ettiği üçüncü güvenlik açığıdır.
11 Eylül’de Google, CVE-2023-4863 olarak tanımlanan ve Windows, macOS ve Linux için Google Chrome sürümlerini etkileyen kritik bir güvenlik açığını açıkladı. Görüntü işlemeyle (libwebp) ilgili bir Chrome kitaplığında bulunan arabellek taşması güvenlik açığı, saldırganlara kötü amaçla hazırlanmış HTML görüntüleri kullanarak hedef sistemlere rastgele kod yazmanın bir yolunu verdi. Google, CVE-2023-4863’ü saldırganların zaten kullandığı bir güvenlik açığı olarak tanımladı ancak herhangi bir ayrıntı sunmadı.
Google, bu güvenlik açığını, Apple ve Toronto Üniversitesi’nin Citizen Lab’ındaki araştırmacıların, bir saldırganın kötü şöhretli Pegasus casus yazılımını hedef iPhone’lara bırakmak için libwebp’te bir güvenlik sorunu bulduğunu şirkete bildirmesinin ardından keşfetti. Her ne kadar Google ve Apple farklı CVE’ler atamış olsa da (Apple’ın libwebp hatası için tanımlayıcısı CVE-2023-41064’tür) bazı güvenlik araştırmacıları, hataların aynı kitaplıkta mevcut olması ve aynı özelliklere sahip olması nedeniyle temelde aynı olmasının muhtemel olduğunu söyledi.
Google, bu üç sıfır güne ek olarak, bu yıl saldırganların, şirketin kendileri için bir yama geliştirmesinden önce aktif olarak yararlandığı üç Chrome hatasını daha açıkladı.
Haziran ayında Google, Chrome’daki V8 JavaScript motorunda bir saldırganın özel hazırlanmış bir HTML sayfası aracılığıyla yararlanabileceği sözde tür karışıklığı hatası olan CVE-2023-3079’u açıkladı. Google diğer iki sıfır günü Nisan ayında açıkladı. Bunlardan biri, Skia açık kaynak grafik kitaplığında CVE-2023-2136 olarak izlenen bir tamsayı taşması sorunuydu ve diğeri de CVE-2023-2033’tü; bu da bir saldırganın kötü amaçlı bir HTML sayfası aracılığıyla yararlanabileceği V8’deki bir tür karışıklık hatasıydı. Tehdit aktörleri yama sırasında üç güvenlik açığından da aktif olarak yararlanıyordu.