PDF.js’de, bir tehdit aktörünün kötü amaçlı bir PDF’yi açarken rastgele kod çalıştırmasına izin verebilecek yeni bir kritik güvenlik açığı keşfedildi. PDF.js, tarayıcıların herhangi bir eklenti veya harici yazılım olmadan PDF dosyalarını oluşturmasına olanak tanır.
Bu güvenlik açığı, React-PDF kullanan birden fazla tarayıcıyı ve uygulamayı etkilemektedir.
İlginç bir gerçek şu ki, Mozilla PDF.js, PDF belgelerini bir tarayıcıda oluşturmaya odaklanan orijinal açık kaynaklı kitaplıktır ve React-PDF PDF.js, Mozilla PDF.js üzerine kuruludur ve PDF.js’yi React’e entegre etmek için kullanılır. uygulamalar.
Milyonlarca kullanıcının PDF dosyalarını kullandığı göz önüne alındığında, bu güvenlik açığının tehdit ortamı milyonlarca PDF kullanıcısını ve React PDF kullanan React uygulamalarını etkileyebilir.
Ücretsiz Web Semineri: Canlı API Saldırı Simülasyonu
Kuruluşların %94’ü üretim API’lerinde güvenlik sorunları yaşıyor ve beşte biri veri ihlali yaşıyor. Sonuç olarak, API’lere yönelik siber saldırıların oranı 2022’de %35’ten 2023’te %46’ya yükseldi ve bu eğilim artmaya devam ediyor:
Temel Çıkarımlar:
- OWASP API Top 10 güvenlik açığından yararlanma
- API’ye kaba kuvvet ATO (Hesap Devralma) saldırısı
- API’ye yönelik bir DDoS saldırısı
- API saldırılarını önlemek için pozitif güvenlik modeli otomasyonu
API’lerinizi bilgisayar korsanlarından korumaya başlayın
Yerinizi Ayırın
Sonuç olarak PDF.js’nin Mozilla Firefox, Safari, Google Chrome ve Edge gibi birçok tarayıcı tarafından kullanılması, tehdit alanını her zamankinden daha büyük hale getiriyor.
Ancak bu güvenlik açığı, React-pdf projesinin sorumlusu Wojciech Maj tarafından düzeltildi.
PDF.js, Mozilla Firefox’ta varsayılan PDF görüntüleyici olarak yerleşiktir. Bu güvenlik açığıyla ilişkili iki CVE vardı: CVE-2024-34342 ve CVE-2024-4367.
Teknik Analiz
CVE-2024-34342: React-pdf’in PDF.js’si Rastgele JavaScript Yürütülmesine Karşı Savunmasız
Bu güvenlik açığı, kötü amaçlı bir PDF dosyası kullanan bir tehdit aktörünün yararlanabileceği react-pdf ile ilgilidir.
Ancak, kötü amaçlı PDF’yi yüklemek için PDF.js’nin kullanılması ve PDF.js’nin isEvalSupported’ın “true” olarak ayarlanması da dahil olmak üzere, bundan tamamen yararlanılması için belirli önkoşullar mevcuttur.
Bu iki koşulun mevcut olması durumunda tehdit aktörü, barındırma alanı bağlamında JavaScript’i çalıştırabilecektir.
Bu güvenlik açığının önem derecesi 7,1 (Yüksek) olarak verilmiştir. React-pdf, bu güvenlik açığını `isEvalSupported`ı “YANLIŞ‘ saldırı vektörünü ortadan kaldırır.
CVE-2024-4367: Mozilla PDF.js Keyfi Kod Yürütülmesine İzin Verebilir
Bu güvenlik açığı Mozilla PDF.js kitaplığında bulunmaktadır ve bir tehdit aktörünün oturum açan kullanıcının bağlamı altında rastgele kod yürütmesine olanak verebilir.
Üstelik kullanıcının ayrıcalığına bağlı olarak, bir tehdit aktörünün bu güvenlik açığından yararlanarak “program yüklemesi; verileri görüntüleme, değiştirme veya silme; veya tam kullanıcı haklarına sahip yeni hesaplar oluşturun.
Güvenlik açığı, isEvalSupported’ın şu şekilde ayarlandığı react-pdf PDF.js ile aynı nedenden dolayı ortaya çıkıyor: doğru varsayılan değer olarak.
Bu güvenlik açığının ciddiyeti henüz sınıflandırılmamıştır.
Ancak yine de bu açıkların tehdit aktörleri tarafından suiistimal edilmesini engellemek amacıyla kullanıcıların ürünlerini en son sürümlere yükseltmeleri tavsiye ediliyor.
Is Your Network Under Attack? - Read CISO’s Guide to Avoiding the Next Breach - Download Free Guide