Google Chrome'da Yılın Beşinci Sıfır Gün Açığı: Aktif Olarak İstismar Ediliyor Siber Güvenlik

Google Chrome'da Yılın Beşinci Sıfır Gün Açığı: Aktif Olarak İstismar Ediliyor

Google, Chrome'da aktif olarak istismar edilen beşinci sıfır gün açığını (CVE-2022-2856) düzelten acil güncelleme yayınladı.

Google, Chrome tarayıcısında bu yıl aktif olarak istismar edilen beşinci sıfır gün açığını düzelten bir güncelleme yayınladı. CVE-2022-2856 olarak izlenen ve yüksek riskli olarak sınıflandırılan bu güvenlik açığı, Chrome'un Android'deki Intents özelliğinde yetersiz girdi doğrulamasından kaynaklanıyor. Google Threat Analysis Group (TAG) araştırmacıları Ashley Shen ve Christian Resell tarafından 19 Temmuz'da bildirilen açık, saldırganların rastgele kod yürütmesine olanak tanıyor. Google, sorunu çözen kararlı kanal güncellemesini 24 Ağustos'ta kullanıma sundu.

Intents, Android cihazlarda Chrome tarayıcısında kullanılan bir derin bağlantı özelliğidir. Daha önce URI şemalarıyla yapılan işlemleri devralan Intents, geliştiricilerin uygulama içi bağlantıları yönetmesini sağlar. Ancak Branch şirketinin açıklamasına göre, Intents karmaşıklık eklese de, mobil uygulamanın yüklü olmadığı durumları otomatik olarak ele alarak kullanıcı deneyimini iyileştirir. CVE-2022-2856 açığı ise bu özellikteki girdi doğrulama eksikliğinden kaynaklanıyor.

MITRE Common Weakness Enumeration (CWE) sitesine göre, yetersiz girdi doğrulaması, yazılımın potansiyel olarak tehlikeli girdileri kontrol etmemesi durumunda ortaya çıkar. Saldırgan, beklenmeyen bir girdi göndererek uygulamanın kontrol akışını değiştirebilir, kaynaklara yetkisiz erişebilir veya rastgele kod çalıştırabilir. Bu tür açıklar, özellikle tarayıcı gibi karmaşık yazılımlarda ciddi güvenlik riskleri oluşturur.

Detaylar ve Etkileri

Google, bu tür sıfır gün açıklarını geniş çapta yamalanana kadar detaylandırmamayı tercih ediyor. Tenable'ın kıdemli araştırma mühendisi Satnam Narang, bu stratejinin savunucular için kritik bir tampon süresi sağladığını belirtiyor. Açıkların detaylarının hemen yayınlanması, yamanın tüm sistemlere ulaşması zaman aldığından, saldırganlara avantaj sağlayabilir. Ayrıca, Microsoft Edge gibi Chromium tabanlı diğer tarayıcılar da etkilenebilir.

Uzmanların Görüşleri

Güncelleme, CVE-2022-2856'nın yanı sıra 10 farklı güvenlik açığını daha kapatıyor. Bunlar arasında Google Project Zero araştırmacısı Sergei Glazunov tarafından bildirilen kritik seviyedeki CVE-2022-2852 (FedCM'de kullanım sonrası serbest bırakma hatası) da bulunuyor. FedCM, web'de birleşik kimlik akışları için kullanılan bir API'dir. Diğer açıklar genellikle yüksek veya orta riskli olarak sınıflandırılmıştır.

Bu yıl Chrome'da aktif istismar edilen beşinci sıfır gün açığı olan CVE-2022-2856, daha önceki açıklarla birlikte değerlendirildiğinde, tarayıcı güvenliğinin ne kadar kritik olduğunu gösteriyor. Temmuz ayında WebRTC'de bir heap buffer overflow (CVE-2022-2294), Mayıs'ta başka bir buffer overflow (CVE-2022-2294), Nisan'da V8 motorunda tür karışıklığı (CVE-2022-1364), Mart'ta ise yine V8'de tür karışıklığı (CVE-2022-1096) düzeltilmişti. Şubat ayında ise Kuzey Koreli hackerların istismar ettiği Animasyon bileşenindeki kullanım sonrası serbest bırakma hatası (CVE-2022-0609) yamalanmıştı.

Kullanıcıların, Chrome tarayıcılarını en son sürüme (Windows ve Mac için 104.0.5112.101, Linux için 104.0.5112.102) güncellemeleri önemle tavsiye edilir. Güncelleme, Ayarlar > Yardım > Google Chrome Hakkında bölümünden kontrol edilebilir. Tarayıcı güncellemelerini düzenli yapmak, bu tür aktif istismar edilen açıklara karşı en etkili savunmadır.

Kaynak: threatpost.com

Paylaş: