Google Chrome'da Yılın Beşinci Sıfırıncı Gün Açığı: Kritik Güvenlik Güncellemesi Yayınlandı Yazılım

Google Chrome'da Yılın Beşinci Sıfırıncı Gün Açığı: Kritik Güvenlik Güncellemesi Yayınlandı

Google, Chrome'da aktif olarak kullanılan beşinci sıfırıncı gün açığını yamaladı. CVE-2022-2856, Intent'lerdeki yetersiz doğrulama nedeniyle keyfi kod

Google, Chrome için yayınladığı kararlı sürüm güncellemesiyle bu yılki beşinci aktif olarak kullanılan sıfırıncı gün (zero-day) açığını yamaladı. CVE-2022-2856 koduyla izlenen ve Yaygın Güvenlik Açığı Puanlama Sistemi'nde (CVSS) yüksek olarak derecelendirilen bu hata, 'Intent'lerde güvenilmeyen girdinin yetersiz doğrulanması'ndan kaynaklanıyor. Google Tehdit Analiz Grubu'ndan (TAG) Ashley Shen ve Christian Resell tarafından 19 Temmuz'da bildirilen açık, saldırganların keyfi kod çalıştırmasına olanak tanıyor. Güncelleme ayrıca Chrome'un diğer 10 sorununu da gideriyor.

Intent'ler, Chrome tarayıcısında Android cihazlarda derin bağlantı (deep linking) sağlayan bir özellik. Mobil uygulamalar için çeşitli bağlantı seçenekleri sunan Branch şirketine göre Intent'ler, URI şemalarının yerini alıyor. Branch, geliştiricilerin window.location veya iframe.src atamak yerine Intent string'lerini kullanmaları gerektiğini belirtiyor. Intent'ler 'karmaşıklık eklese de' bağlantılarda mobil uygulamanın yüklü olmaması durumunu otomatik olarak yönettiği için avantaj sağlıyor. Yetersiz doğrulama ise, MITRE'nin Zayıflık Numaralandırma sitesine göre, yazılımın girdiyi doğru şekilde kontrol etmemesi durumunda saldırganın beklenmeyen girdi oluşturmasına ve kontrol akışını değiştirmesine veya keyfi kod çalıştırmasına yol açabiliyor.

Google, her zamanki gibi, açığın ayrıntılarını yaygın olarak yamalanana kadar gizli tutarak tehdit aktörlerinin daha fazla istismar etmesini engellemeyi hedefliyor. Tenable'da kıdemli araştırma mühendisi Satnam Narang, bu stratejinin akıllıca olduğunu belirterek, 'Aktif olarak kullanılan bir sıfırıncı gün açığının ayrıntılarını yama yayınlanır yayınlanmaz açıklamak, güvenlik güncellemelerinin dağıtılması zaman aldığından korkunç sonuçlara yol açabilir' diyor. Ayrıca, diğer Linux dağıtımları ve Microsoft Edge gibi tarayıcılar da Chromium tabanlı olduğu için bu bilgilerin gizli tutulmasının önemli olduğunu vurguluyor.

Bu yıl yamalanan beşinci Chrome sıfırıncı gün açığı olan CVE-2022-2856'nın yanı sıra, güncellemede kritik olarak derecelendirilen CVE-2022-2852 de düzeltildi. Bu hata, Google Project Zero'dan Sergei Glazunov tarafından bildirilen FedCM'de (Federated Credential Management API) bir use-after-free sorunuydu. Geçmişteki diğer sıfırıncı gün açıkları arasında Temmuz'da WebRTC'de heap buffer overflow (CVE-2022-2294), Mayıs'ta ayrı bir buffer overflow (CVE-2022-2294), Nisan'da V8 JavaScript motorunda tip karışıklığı (CVE-2022-1364) ve Şubat'ta Animation bileşeninde use-after-free (CVE-2022-0609) yer alıyor. Kuzey Koreli hackerların bu sonuncusunu keşfedilmeden haftalar önce kullandığı ortaya çıkmıştı.

Paylaş: