Microsoft’un Windows 11’de kullanıcı deneyimini geliştirme çabaları, KB5031455 güncellemesi aracılığıyla çeşitli yeni arşiv formatları için yerel destek getirmiştir.
Bu değişiklikler kullanıcı iş akışlarını kolaylaştırmış olsa da, pandora’nın siber güvenlik alanında yanlışlıkla açtılar ve işletim sistemini, çoklu arşiv dosya biçimlerini işlemek için kullanılan açık kaynaklı bir kütüphane olan Libarchive’a olan güveninden kaynaklanan potansiyel güvenlik açıklarına bağladılar.
Windows 11 Sıkıştırma Genişlemesi
Ekim 2023’ten önce, Windows 11 yalnızca “sıkıştırılmış (fermuarlı) klasör” olarak kategorize edilen ZIP dosyalarını yerel olarak destekledi.
KB5031455 güncellemesi, bu özelliği RAR, 7Z ve TAR dahil 11 ek format içerecek şekilde genişletti.
Değişiklikler, bu formatları işlemek için artık Winrar veya 7-ZIP gibi üçüncü taraf araçlarına ihtiyaç duymayan kullanıcılar tarafından memnuniyetle karşılandı.
Bu kullanıcı dostu cephenin altında teknik bir değişim yatıyor. Dosya Gezgini artık iki farklı mekanizma kullanıyor: Zip dosyalarını işlemek için zipfldr.dll ve yeni desteklenen formatları yönetmek için Libarchive’ı entegre eden archiveint.dll.
Libarchive, Linux, macOS ve BSD gibi platformlarda test edilen sağlam bir kütüphane olsa da, önemli güvenlik endişeleri getirmiştir.
Libarchive güvenlik açıkları
Libarchive, Google’ın OSS-Fuzz programı aracılığıyla olgunluğuna ve kapsamlı tüy testlerine rağmen, zırhında çatlaklar gösterdi.
Son araştırmalar, Microsoft ve Libarchive’da yukarı akıştaki gecikmelerden dolayı devam eden diğerleri de dahil olmak üzere Windows 11’deki kullanımına bağlı birkaç ciddi güvenlik açıklığını ortaya çıkardı.
Keşfedilen temel güvenlik açıkları:
- CVE-2024-26185: Bir boşluk, Dosya Gezgini’ndeki arşivlerden dosya çıkarırken keyfi dosya yazma ve silme işlemlerine izin verdi.
Derin arşiv yapılarında gezinmek ve belirli dosyaları açmak gibi hassas kullanıcı etkileşimi gerektirse de, istismarın altını çizen zayıf dosya adı filtreleme.
- CVE-2024-38165: Microsoft’un CVE-2024-26185 için ilk yaması atlandı.
Saldırganlar, Windows’un arşivlerdeki mutlak yolları ele alarak, hedeflenen dizinlerinin dışında geçici dosyalar yazarak potansiyel olarak veri manipülasyonunu sağlayabilir.
- CVE-2024-26256: Bu şiddetli uzaktan kod yürütme (RCE) güvenlik açığı, RAR dosyalarını işlerken Libarchive’daki bir yığın arabellek taşmasından kaynaklandı. Bu kusurdan yararlanmak, bilgisayar korsanlarının kötü amaçlı kod yürütmesine izin vererek kullanıcıları önemli riske attı.
- RCE ve Dosya Karışıklık Hataları: Araştırmacılar, Libarchive’ın dosya biçimlerini yanlışlıkla tanımlayabileceğini ve daha fazla güvenlik açıklarına yol açabileceğini bile buldular. Örneğin, bir zip imzası içeren düşük sıkıştırma RAR dosyası yanlış sınıflandırıldı ve kullanıcıları potansiyel saldırılara maruz bıraktı.
Libarchive’ın entegrasyonu yazılımın saldırı yüzeyini önemli ölçüde genişletti.
Araştırmacılar, teorik olarak, Windows 11’in Libarchive’ın filtreleri ve formatları zincirleme yeteneği nedeniyle 91’den fazla usulyon (10^33) arşiv formatı kombinasyonlarını destekleyebileceğini belirtti.
Bu esneklik teorik olarak geniş uyumluluğu mümkün kılar, ancak beklenmedik güvenlik kusurlarının olasılığını önemli ölçüde artırır.
Sürekli tüy testlerine rağmen, Libarchive’ın belirli dosya formatlarını denetlemesi ve CRC kontrollerine güvenmesi, otomatik güvenlik açığı tespiti için zorluklar yarattı.
CVE-2024-20696 ve CVE-2024-20697 gibi güvenlik açıkları bulunduktan sonra bile, Microsoft ve Libarchive koruyucular arasındaki bir kopukluk, Microsoft’un Libarchive çatalında yamalanan güvenlik açıklarının aylarca yukarı akış yukarı çıkmadığı bir “yarım günlük” senaryoya yol açtı.
Acil CVE ihracatının eksikliği ve kamuoyu bilinci, kritik yamaların konuşlandırılmasını daha da geciktirerek aşağı yönlü kullanıcıları ve projeleri savunmasız bıraktı.
Gecikme, tescilli sistemlere entegre edildiğinde açık kaynaklı yazılım geliştirmenin parçalanmış doğasında bulunan riskleri vurgular.
Windows 11 kullanıcıları doğrudan Dosya Gezgini’nde birden fazla arşiv formatını işleme kolaylığından yararlandıkça, bu lüksün uyanıklıkla gelmesi gerektiğini hatırlamak çok önemlidir.
Sistemleri güncel tutmak ve ortaya çıkan güvenlik açıklarını izlemek, sürekli gelişen bir siber güvenlik ortamında riskleri azaltmak için temel adımlar olmaya devam etmektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free