Google, Chrome Web tarayıcısında, saldırganların aktif olarak istismar ettiği yüksek önem derecesine sahip bir sıfır gün hatasını yamaladı. Hedeflenen uç noktalarda kod yürütmenin ve diğer siber saldırıların önünü açar.
Olarak atanan güvenlik açığı CVE-2024-0519, Google’ın 2024’te açıkladığı ilk Chrome sıfır gün hatası ve bir takvim ayından kısa süre içinde tarayıcıda görülen ikinci hatadır. Google, 2023 yılında şu anda en yaygın kullanılan tarayıcı olan Chrome’da toplam sekiz sıfır gün güvenlik açığını ortaya çıkardı.
CVE-2024-0519: Bellek Bozulması Güvenlik Hatası
CVE-2024-0519, Google’ın Chrome’un V8 JavaScript motorunda sınır dışı bellek erişimi sorunu olarak tanımladığı sorunla ilgilidir. Bu tür güvenlik açıkları bir yazılım programı çalıştırıldığında ortaya çıkar. hafıza konumlarına erişmeye çalışır Kendisine tahsis edilen sınırların dışında.
Vulnera araştırmacılarına göre saldırganlar, etkilenen sistemdeki bitişik bellek konumlarındaki hassas bilgilere erişmek, sistemin çökmesine, verileri değiştirmesine veya kötü amaçlı kod yerleştirmesine neden olmak için bu güvenlik açıklarından yararlanabilir.
“Yetkisiz belleğe erişimin yanı sıra CVE-2024-0519, ASLR gibi koruma mekanizmalarını atlatmak için de kullanılabilir, bu da başka bir güvenlik açığı yoluyla kod yürütülmesini kolaylaştırır.” bir Vulnera blog gönderisine göre.
Google, anonim bir güvenlik araştırmacısının güvenlik açığını 11 Ocak’ta şirkete bildirdiğini söyledi. Google’da sıfır gün güvenlik açıklarında olduğu gibi, şirketin hata açıklaması CVE-2024-0519’a yönelik bir istismarın ortalıkta mevcut olduğunu belirtmenin ötesinde kusur hakkında herhangi bir ayrıntı sunmadı. Güvenlik açığı, Google’ın bu hafta yamaladığı üç kusurdan biri. Diğerleri CVE-2024-0517V8’de sınır dışı yazma sorunu olan ve CVE-2024-0518V8’deki bir tür karışıklık kusuru.
Chrome için Sıfır Günler Fırtınası
CVE-2024-0519, araştırmacıların ve saldırganların son yıllarda Chrome’da keşfettiği, giderek büyüyen sıfır gün hataları listesine yenilerini ekliyor. Ancak sekiz Chrome sıfır günü Google’ın 2023’te açıkladığı rakamlar aslında 2022’de açıkladığı dokuz rakamdan ve 2021’de açıklanan rahatsız edici 15 rakamdan daha azdı.
Google’daki veriler 0gün “Vahşi Doğada” e-tablo, Google’ın Project Zero hata bulma ekibinin aktif olarak yararlanılan sıfır günleri izlemeye başladığı 2014’ten 2018’in sonuna kadar, Chrome’da kamuya açıklanan sıfır günlerin bulunmadığını gösteriyor. O tarihten bu yana, Ocak 2019 ile Ocak 2024 arasında Google, Chrome’da toplam 43 sıfır gün hatası açıkladı; bunların çoğu, Microsoft Edge gibi Chromium teknolojisine dayalı tarayıcıları da etkiledi.
Google’ın bu hafta yamaladığı sıfır gün de dahil olmak üzere sıfır günden on yedisi, Chrome tarayıcısının V8 JavaScript motorunu etkiliyor. Neredeyse hepsi, çok çeşitli kötü amaçlı faaliyetlere olanak tanıyan benzer hafıza bozulması sorunlarıydı.
Kamuya açıklanan güvenlik açığı verileri, Chrome’un son yıllarda saldırganlar arasında en çok hedef alınan teknolojilerden biri olduğunu gösteriyor. Güvenlik analistleri Chrome’un geniş müşteri tabanına dikkat çekti. Dünya çapında tarayıcı pazar payının %65’i — hem saldırganların hem de böcek avcılarının teknolojiye artan ilgisinin bir nedeni olarak. Diğer bir faktör ise tarayıcıların neredeyse her yerde kullanılması uygulamalara, web sitelerine, belgelere, PDF’lere ve diğer içeriklere çevrimiçi olarak erişmek için. Tarayıcıların geleneksel istemci teknolojilerinin yerini almaya başlamasıyla birlikte, saldırganlar da giderek tarayıcıları hedeflemeye başladı.
Siber Saldırganların Tarayıcı Teknolojisine İlgisi Artıyor
Chrome favori hedef olmasına rağmen diğer tarayıcı teknolojileri araştırmacıların veya saldırganların ilgisinden kaçmadı. Örneğin Apple, 2021’den bu yana WebKit tarayıcı motorunda toplam 21 sıfır gün hatası açıkladı; bunların 11’i geçen yıl oldu.
Son zamanlarda hem Apple hem de Google, casusluk amacıyla tarayıcıdaki güvenlik açıklarından yararlanmaya çalışan saldırganlara karşı uyardı. Örneğin geçen Eylül ayında Google sıfır gün hatasını açıkladığında (CVE-2023-5217) bir Chrome yazılım kütüphanesinde şirket, ticari bir satıcının bu kusurdan yararlanarak Predator casus yazılım aracı etkilenen Android cihazlarda.
Tarayıcı saldırılarına ilişkin endişeler, kuruluşları tarayıcı kullanımını güvence altına alacak önlemler uygulamaya itiyor gibi görünüyor. İçinde LayerX’in gerçekleştirdiği 150 CISO anketi Geçen yıl, tamamı SaaS ortamlarında bulunan kuruluşların %87’si, son 12 ayda en az bir tarayıcı kaynaklı saldırı bildirdi. Yüzde kırk yedisi, ortamlarında zorunlu tarayıcı güncellemeleri için kontroller konuşlandırdı, %41’i şüpheli uzantıları kaldırdı ve %78’i kurumsal olmayan tarayıcı profillerini kısıtladı.