Yönetişim ve Risk Yönetimi, Yama Yönetimi
Sınırlı Ayrıntılar Açıklandı, ancak Google bunun Yığın Tabanlı Bir Arabellek Taşması Hatası olduğunu söyledi
Sayın Mihir (MihirBagwe) •
28 Eylül 2023
Google, ticari bir casus yazılım satıcısı tarafından aktif olarak istismar edilen sıfır günü ele almak için acil bir Chrome tarayıcı güvenlik güncellemesi yayınladı. Yüksek önem derecesine sahip hata, bu yıl Chrome tarafından yamalanan beşinci sıfır gün oldu.
Ayrıca bakınız: 2022 Ünite 42 Olay Müdahale Raporu
Teknoloji devi Çarşamba günü yaptığı güncellemede, CVE-2023-5217 olarak takip edilen güvenlik açığına yönelik bir düzeltme duyurdu.
Kusur, VP8 sıkıştırma formatındaki yığın tabanlı arabellek taşması sorunudur. libvpx kütüphane. Libvpx, Google’ın ve AOMedia olarak da bilinen Alliance for Open Media’nın sunduğu ücretsiz bir video codec kütüphanesidir. Bu, görsel kaliteyi korurken bit hızını azaltan, herkese açık, telifsiz bir medya dosyası formatı olan WebM için VP8 video kodlayıcıdır.
Bir program, belleğin dinamik olarak ayrılmış bir kısmına arabelleğin tutabileceğinden daha fazla veri yazdığında, yığın tabanlı arabellek taşması meydana gelir. Saldırganlar, verileri manipüle ederek veya kötü amaçlı kod çalıştıracak bir işaretçi oluşturarak sistemi istismar etmek için bundan yararlanabilir.
Google, güvenlik açığı hakkında daha fazla ayrıntı vermedi, yalnızca yaygın bir istismarın farkında olduğunu belirtti. Google, “Kullanıcıların çoğunluğu bir düzeltmeyle güncellenene kadar hata ayrıntılarına ve bağlantılara erişim kısıtlı tutulabilir” dedi. “Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltilmediği bir üçüncü taraf kütüphanesinde mevcut olması durumunda da kısıtlamaları koruyacağız.”
Google, keşfi şirketin Tehdit Analizi Grubu’ndan Clément Lecigne’e verdi. Aynı zamanda Google TAG’da araştırmacı olan Maddie Stone, tweet attı kusur “ticari bir gözetim satıcısı tarafından kullanılıyordu.”
Ticari casus yazılım pazarında son on yılda patlama yaşandı. Artık en az 30 satıcı, akıllı telefon metin mesajlarını uzaktan almak, mikrofonları gizlice etkinleştirmek ve kesin konumları elde etmek için tasarlanmış araçlar sunuyor. Birçok tedarikçinin, araçlarının uygunsuz şekilde kullanılmasını önlemek için güçlü kontrollere sahip oldukları yönündeki güvencelerine rağmen, sivil toplum aktivistleri bu tür araçların otoriter veya baskıcı rejimler tarafından düzenli olarak kullanıldığını söylüyor (bkz: Apple, Mısırlı Politikacının iPhone’una Bulaşan Hataları Düzeltti).
Yama, Chrome’un başka bir açıktan yararlanılan sıfır gün sorununu (CVE-2023-4863) düzeltmesinden birkaç hafta sonra geldi (bkz.: Google, Doğada İstismar Edilen Chrome Sıfır Gününü Düzeltiyor). Önceki hata da arabellek taşması güvenlik açığıydı.