Google Chrome'da Yılın Beşinci Sıfırıncı Gün Açığı: Aktif Saldırı Altında Yazılım

Google Chrome'da Yılın Beşinci Sıfırıncı Gün Açığı: Aktif Saldırı Altında

Google, Chrome'un bu yılki beşinci sıfırıncı gün açığını yamaladı. CVE-2022-2856, Intents'te yetersiz girdi doğrulaması nedeniyle aktif saldırı altınd

Google, Chrome tarayıcısında aktif olarak istismar edilen yılın beşinci sıfırıncı gün güvenlik açığını yamaladı. 11 güvenlik düzeltmesi içeren kararlı kanal güncellemesiyle yayınlanan yama, CVE-2022-2856 koduyla takip edilen ve yüksek önem derecesine sahip bir hatayı gideriyor. Google'ın yayınladığı danışma belgesine göre bu hata, 'Intents' işlevindeki güvenilmeyen girdilerin yetersiz doğrulanmasından kaynaklanıyor ve rastgele kod çalıştırmaya izin verebiliyor. Açık, Google'ın Tehdit Analiz Grubu'ndan (TAG) Ashley Shen ve Christian Resell tarafından 19 Temmuz'da rapor edildi.

Intents, Android cihazlarda Chrome tarayıcısı içinde derin bağlantı sağlayan bir özellik. Daha önce URI şemalarıyla yapılan işlemleri devralan Intents, geliştiricilerin mobil uygulama yüklü değilse bile bağlantıları otomatik olarak yönetmesine olanak tanıyor. Ancak yetersiz girdi doğrulaması, saldırganların beklenmeyen girdiler oluşturarak uygulamanın kontrol akışını değiştirmesine, kaynaklara keyfi erişim sağlamasına veya rastgele kod çalıştırmasına yol açabiliyor. MITRE'ın Common Weakness Enumeration sitesine göre, girdi doğrulaması yazılımın güvenliği için kritik bir adım ve bu tür eksiklikler ciddi güvenlik ihlallerine neden olabiliyor.

Google, bu tür açıklar için tipik olarak ayrıntıları hemen paylaşmıyor. Bunun yerine, yamanın yaygın olarak dağıtılmasını bekleyerek saldırganların daha fazla istismar etmesini engellemeyi hedefliyor. Tenable'da kıdemli personel araştırma mühendisi Satnam Narang, bu stratejinin önemini vurguluyor: 'Aktif olarak istismar edilen bir sıfırıncı gün açığının ayrıntılarını yama yayınlanır yayınlanmaz kamuya açıklamak, savunmacılar için bir tampon bölge oluşturur.' Ayrıca, diğer Linux dağıtımları ve Microsoft Edge gibi Chromium tabanlı tarayıcılar da bu açıktan etkilenebileceği için bilgilerin gizli tutulması önemli.

Bu yama, Google'ın 2022'de Chrome için yayınladığı beşinci aktif sıfırıncı gün düzeltmesi. Daha önce Temmuz'da WebRTC'de bir heap buffer overflow (CVE-2022-2294), Mayıs'ta ayrı bir buffer overflow (CVE-2022-2294), Nisan'da V8 motorunda tür karışıklığı (CVE-2022-1364) ve Mart'ta yine V8'de tür karışıklığı (CVE-2022-1096) yamalanmıştı. Şubat ayında ise Chrome'un Animation bileşeninde kullanım-sonrası-serbest bırakma (use-after-free) hatası (CVE-2022-0609) düzeltilmiş ve bu açığın Kuzey Koreli bilgisayar korsanları tarafından istismar edildiği ortaya çıkmıştı. Google, güncellemede ayrıca FedCM API'sindeki kritik bir kullanım-sonrası-serbest bırakma hatasını (CVE-2022-2852) da giderdi.

Paylaş: