Uç Nokta Güvenliği, Yönetişim ve Risk Yönetimi, Güvenlik Açığı Değerlendirmesi ve Sızma Testi (VA/PT)
WebP Görüntü Formatındaki Yığın Arabelleği Taşması Sorununun Neden Olduğu Chrome Hatası
Sayın Mihir (MihirBagwe) •
12 Eylül 2023
Google Pazartesi günü Chrome sıfır günü için bir düzeltme yayınladı. Önceki üç güvenlik açığı gibi, 2023’te bulunan bu dördüncü Chrome sıfır gün güvenlik açığı, bir saldırganın tarayıcının güvenlik açığı bulunan bir sürümünü uzaktan hedeflemesine olanak tanıyor.
Ayrıca bakınız: İsteğe Bağlı Web Semineri | Üçüncü Taraf Riski, ChatGPT ve Deepfakes: Günümüzün Tehditlerine Karşı Savunma
Bir saldırgan, bu güvenlik açığından yararlanarak rastgele kod çalıştırabilir, tarayıcının belleğindeki verileri yanlış yönetebilir ve sonunda kurbanın cihazındaki tarayıcıyı çökertebilir. Kusur, Google tarafından yüksek kaliteli bir sıkıştırma yöntemi olarak desteklenen bir resim formatı olan WebP’deki yığın arabellek taşması sorunundan kaynaklanıyor.
Google, CVE-2023-4863 olarak takip edilen güvenlik açığının vahşi ortamda istismar edildiğini söyledi. Salı günü Mozilla, Firefox tarayıcısındaki kusuru düzeltmek için bir yama da yayınladı.
Apple Güvenlik Mühendisliği ve Mimarisi ile Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab’dan araştırmacılar, sıfır gün kusurunu 6 Eylül’de Chrome geliştiricilerine bildirdi.
Aynı araştırma ekipleri geçen hafta da Pegasus’un gelişmiş casus yazılım uygulamasını Washington, DC merkezli bir sivil toplum kuruluşunda çalışan bir kişinin taşıdığı en az bir iPhone’a dağıtmak için kullanılan BlastPass adı verilen sıfır tıklamalı bir istismarı bulup düzeltti. (Görmek: Apple, NSO Group’un Casus Yazılımlarından Yararlanan Sıfır Tıklama Hatalarını Düzeltiyor).
Apple ve Citizen Lab’ın Bilgi Güvenliği Medya Grubu’nun bilgi talebine hemen yanıt vermemesi nedeniyle ikisi arasındaki potansiyel bağlantı kurulamadı.
Güvenli Tarama Yükseltiliyor
Chrome sıfır gününün geliştirilmesi, Google’ın Chrome güvenlik özelliklerini daha da sıkılaştırmasıyla birlikte geliyor. Chrome bu ay 15 yaşına giriyor ve teknoloji devi hızlı, güvenilir, emniyetli ve kullanımı kolay bir tarayıcı sunmak istiyor. Geçen hafta Google, tehlikeli siteleri ve dosyaları otomatik olarak işaretleyen Güvenli Tarama özelliği de dahil olmak üzere bir dizi yükseltmeyi tanıttı.
Güvenli Tarama özelliği daha önce her site ziyaretini, her 30 ila 60 dakikada bir güncellenen, bilinen kötü sitelerin yerel olarak saklanan bir listesiyle karşılaştırarak çalışıyordu. Google, “Ancak kimlik avı alan adları daha karmaşık hale geldi ve bugün bunların %60’ı 10 dakikadan daha kısa bir süre boyunca varlığını sürdürüyor, bu da onların engellenmesini zorlaştırıyor” dedi.
Teknoloji devi, bu kötü amaçlı siteleri başlatıldığı anda engellemek için artık Standart koruma modunu Güvenli Tarama’ya yükseltiyor. Bu, Chrome’un artık siteleri Google’ın bilinen kötü sitelerine göre gerçek zamanlı olarak, kullanıcının tarama geçmişini paylaşmadan kontrol edeceği anlamına geliyor.
Şirket, bu tehditlerin tanımlanması ve önlenmesi arasındaki sürenin kısalması nedeniyle, kötü amaçlı yazılımlara ve kimlik avı tehditlerine karşı korumanın %25 oranında arttığını tahmin ediyor. Güncellemenin önümüzdeki haftalarda Chrome kullanıcılarına sunulması planlanıyor.
Güvenli Tarama’nın Gelişmiş Koruma modu, Google’ın “AI ile yeni saldırıları engellemeye, dosyalar için derin bir tarama sağlamaya ve kötü amaçlı Chrome uzantılarına karşı ekstra koruma sağlamaya devam ettiğini” söylediği ek koruma için etkinleştirilebilir.