Ağustos ayından bu yana dördüncü kez Google, Chrome tarayıcı teknolojisinde, şirket bunun için bir çözüm bulmadan önce saldırganların aktif olarak kullandığı bir hatayı açıkladı.
Tam Sayı Taşması Hatası
Google’ın takip ettiği en son sıfır gün CVE-2023-6345, Chrome’daki açık kaynaklı bir 2D grafik kitaplığı olan Skia’daki bir tamsayı taşması sorunundan kaynaklanıyor. Hata, Google’ın bu hafta bir güvenlik güncellemesi yayınladığı yedi Chrome güvenlik açığından biridir.
Şirketin danışma CVE-2023-6345’e yönelik bir istismarın kamuya açık olduğu gerçeğinin ötesinde, CVE-2023-6345 hakkında seyrek ayrıntılar içeriyordu. NIST’in Ulusal Güvenlik Açığı Veritabanı (NVD) sitesinde kısa bir açıklama kusuru anlattı Chrome’un 119.0.6045.199’dan önceki sürümlerini etkilediği ve “oluşturucu sürecini tehlikeye atan uzaktaki bir saldırganın, kötü amaçlı bir dosya yoluyla sanal alandan kaçış gerçekleştirme potansiyeline sahip olmasına” olanak sağladığı gibi. NVD, hatayı yüksek önem derecesine sahip bir sorun olarak tanımladı.
Google, 24 Kasım’da CVE-2023-6345’i bulup bildirdikleri için Tehdit Analizi Grubundaki araştırmacılara itibar etti.
Bu güvenlik açığı, Google’ın bu yıl aktif istismar faaliyetleri sırasında yama yapmak için acele ettiği yedinci sıfır gün ve saldırganların Chrome ve diğer tarayıcılara artan ilgisinin en son göstergesi.
Tarayıcı Sıfır Günleri Tufanı
Bu yılın başından bu yana Apple, Google, Microsoft ve Firefox, kendi tarayıcılarında, birkaç sıfır gün de dahil olmak üzere çok sayıda kritik güvenlik açığını açıkladılar. Bazı durumlarda, yaygın olarak kullanılan bazı bileşenlerdeki bir hata, birden fazla tarayıcıyı aynı anda etkiledi. CVE-2023-4863Chrome, Apple Safari ve Mozilla Firefox’ta ortak bir kod kitaplığı olan WebP’de sıfır gün yığın taşması. Diğer durumlarda olduğu gibi CVE-2023-5217Chrome’daki sıfır gün hatası, Microsoft Edge, Opera, Brave ve Vivaldi gibi Chromium teknolojisini temel alan birden fazla tarayıcıyı etkiledi.
Ayrıca Apple’ın bu yıl Safari için WebKit tarayıcı motorunda ayrı ayrı açıkladığı çok sayıda sıfır gün sayısı da vardı. CVE-2023-28205 ve Mayıs ayında üç kişi daha: CVE-2023-32409, CVE-2023-28204 ve CVE-2023-32373. Hem Microsoft hem de Mozilla, ilgili tarayıcılarındaki diğer kritik hataları da ayrı ayrı bildirdi.
Google’ın bu hafta açıkladığı hata olan CVE-2023-6345’i şu anda hangi tehdit aktörünün kullanıyor olabileceği veya bunun nedeni belli değil. Ancak son aylarda Google ve Apple, ticari gözetim ürünleri satıcılarının kendi tarayıcı teknolojilerindeki sıfır gün hatalarından yararlandıkları konusunda uyardılar. casus yazılım bırakmak Android, iOS ve diğer mobil cihazlarda. Google, CVE-2023-4863’ü, Apple ve Toronto Üniversitesi Citizen Lab’daki araştırmacıların, ticari bir satıcının Android ve iOS cihazlarına Predator casus yazılımını düşürmek için kusuru kullandığı konusunda şirketi bilgilendirmesinin ardından keşfetti.
Her Yerde Kullanım
Menlo Security’nin baş güvenlik mimarı Lionel Litty, saldırganların tarayıcılara olan artan ilgisinin çoğunun tarayıcıların yaygın kullanımıyla ilgili olduğunu söylüyor. Web uygulamalarının artan kullanımı, kullanıcıların uygulamalara ve web sayfalarına erişimden PDF’ler ve diğer belgeler gibi ek içeriklere kadar her şey için zamanlarının çoğunu tarayıcılarda geçirmesine neden oldu. Litty, buna Google’ın tarayıcısına daha fazla özellik entegre etme ve onu kalın istemci teknolojilerinin yerine koyma çabasının da eklendiğini söylüyor. Buna WebGPU arayüzü aracılığıyla USB aygıtlarına, Bluetooth’a ve hatta GPU’ya erişimin etkinleştirilmesi de dahildir.
“Google mühendisleri tarafından gösterilen tüm özene rağmen, gerçekten istismar edilen birçok sıfır gün de dahil olmak üzere, istismar edilebilir güvenlik sorunlarının sürekli bir akışını görmeye devam ediyoruz” diyor.
Litty, birden fazla tarayıcının Chromium’u temel alması gerçeğinin de saldırganların bu teknolojiyi hedeflemesinin bir başka nedeni olduğunu belirtiyor. “Chrome’a karşı bir güvenlik açığı geliştirmek, genellikle bunun tüm tarayıcılarda çalışacağı, Safari ve Firefox’u kaydedeceği ve kötü aktörlerin herhangi bir ek çalışma yapmadan daha fazla kurbanı hedef almasına olanak sağlayacağı anlamına gelir.”
Qualys’in güvenlik açığı ve tehdit araştırması yöneticisi Saeed Abbasi, Chrome’un tehdit aktörleri arasında artan popülaritesinin benzer nedenlerine dikkat çekiyor. “Ayrıca, Chrome gibi yaygın olarak kullanılan bir platformdan yararlanmanın yüksek ticari değeri, devlet sponsorları tarafından desteklenenler de dahil olmak üzere gelişmiş saldırganların ilgisini çekiyor” diyor.
Abbasi, daha genel olarak tarayıcılardaki güvenlik açıklarının kuruluşlar için önemli riskler oluşturduğunu söylüyor. Saldırganlar, kötü amaçlı yazılımları ve casus yazılımları bir kuruluşa gizlice sokmak için tarayıcı hatalarını kullanabilir. Ayrıca saldırganlar, gelecekteki potansiyel saldırılar için oturum açma kimlik bilgilerini ve diğer verileri çalmak amacıyla bu zayıflıklardan yararlanabilir.
Abbasi, “Tarayıcıdaki güvenlik açıklarından kaynaklanan riskleri azaltmak için kuruluşların, tarayıcıları güncel tutmak amacıyla düzenli güncellemelere ve yama yönetimine öncelik vermesi gerektiğini” belirtiyor. “Ağ bölümlendirmesinin uygulanması, tarayıcının hassas alanlara erişimini kısıtlayarak ihlalin etkilerini azaltabilir.”