Kullanıcı güvenliğini korumak için zamana karşı yarışan Google ve Mozilla’nın da aralarında bulunduğu büyük tarayıcı satıcıları, WebP Codec bileşeninde keşfedilen kritik bir güvenlik açığına yanıt olarak acil güncellemeler yayınlamak için çabaladılar.
Yeni ortaya çıkarılan ve CVE-2023-4863 tanımlayıcısını taşıyan bu güvenlik açığı, aktif istismar potansiyeli nedeniyle siber güvenlik camiasında şok dalgaları yarattı.
Güvenlik Açığının Niteliği
CVE-2023-4863 tanımlayıcısı ile tanımlanan güvenlik açığı, libwebp’deki yığın arabellek taşması ile ilgilidir.
Bu güvenlik açığı, bir saldırganın kötü amaçlı bir WebP görüntüsü aracılığıyla bu güvenlik açığından yararlanabilmesi nedeniyle önemli bir tehdit oluşturmaktadır.
Bu görüntü formatı, etkili görüntü sıkıştırma yetenekleri nedeniyle özellikle Google Chrome ve Mozilla Firefox gibi popüler tarayıcılar tarafından kullanılmaktadır.
Google, üstün kayıpsız ve kayıplı sıkıştırma yetenekleriyle tanınan modern bir görüntü formatı olan WebP’yi geliştirdi ve Web görüntüleri için ideal hale geldi.
PNG ve JPEG gibi geleneksel formatları geride bırakan boyut ve hız avantajları, yaygın olarak benimsenmesine yol açmıştır.
Bu tür güvenliği ihlal edilmiş bir görüntüyü açan bir kullanıcı, içerik sürecinde bir yığın arabellek taşmasını tetikleyebilir ve bu da potansiyel olarak rastgele kod yürütülmesine veya sistem güvenliğinin aşılmasına yol açabilir.
Bu, daha fazla istismarın önlenmesi ve kullanıcıların olası zararlardan korunması için bu sorunun derhal ele alınmasının aciliyetinin altını çizmektedir.
Güvenlik açığının temel nedeni, veri doğruluğunu doğrulamak için kullanılan “BuildHuffmanTable” işlevine kadar izlenebilmektedir. Özellikle kusur, tablonun geçerli veriler için yeterince büyük olmadığı ortaya çıkarsa daha fazla bellek ayrıldığında ortaya çıkar.
DoControl ile ihtiyaçlarınıza uygun iş akışları oluşturarak SaaS uygulamalarınızı ve verilerinizi güvende tutabilirsiniz. Riskleri tanımlamanın ve yönetmenin kolay ve etkili bir yoludur. Kuruluşunuzun SaaS uygulamalarının riskini ve maruziyetini yalnızca birkaç basit adımda azaltabilirsiniz.
Ücretsiz Demoyu Deneyin
Başlıca Tarayıcılardan Hızlı Yanıtlar
Google, Mevcut Ürün ve Genişletilmiş kararlı ürün kanallarında önemli güncellemeleri kullanıma sunarak hızlı aksiyon aldığını gösterdi. Mac ve Linux için 116.0.5845.187 sürümü ve Windows için 116.0.5845.187/.188 sürümü olarak işaretlenen bu kritik güncellemeler halihazırda dağıtıldı ve önümüzdeki günler ve haftalarda aşamalı olarak dağıtılacak şekilde ayarlandı.
Mozilla da aynı derecede proaktif ve geniş kullanıcı tabanının korunmasını sağlamak için güncellemesini Firefox 117.0.1 sürümünde yayınlamayı planlıyor.
Dikkate değer bir hamleyle Apple, bu özel güvenlik açığını hedef alan bir güncelleme de yayınladı.
Teşekkür ve Aciliyet
Bu güvenlik açığının keşfi, Apple Güvenlik Mühendisliği ve Mimarisi (SEAR) ekibinin Toronto Üniversitesi Munk Okulu’ndaki Citizen Lab ile işbirliği içinde 6 Eylül 2023’te yaptığı sorumlu raporlama sonucunda ortaya çıktı.
Ayrıca Google ve Mozilla, CVE-2023-4863’e yönelik aktif bir istismarın varlığını doğrulayarak durumun aciliyetinin altını çizdi.
Kullanıcıya Dikkat Edilmesi Önerilir
Kullanıcıların, bu kritik güvenlik yamalarından yararlanabilmeleri için tarayıcılarının en son sürümlere güncellendiğinden emin olmaları önemle rica olunur. Tarayıcı satıcılarının, çevrimiçi deneyimin güvenliğini ve bütünlüğünü korumaya yönelik kolektif kararlılığı vurgulamak için aldığı proaktif önlemler.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.