Google, Chrome tarayıcısında bu yıl keşfedilen beşinci sıfırıncı gün (zero-day) açığını yamaladı. CVE-2022-2856 olarak izlenen ve yüksek önem derecesine sahip bu güvenlik açığı, 'Intents' bileşeninde güvenilmeyen girdilerin yetersiz doğrulanmasından kaynaklanıyor. Saldırganların bu açığı kullanarak keyfi kod çalıştırabileceği belirtiliyor. Google'ın Tehdit Analiz Grubu (TAG) tarafından 19 Temmuz'da raporlanan açık, 10 başka güvenlik sorunuyla birlikte kararlı kanal güncellemesinde düzeltildi.
Intents, Android cihazlarda Chrome tarayıcısı içinde kullanılan bir derin bağlantı (deep linking) özelliğidir. URI şemalarının yerini alan bu yapı, uygulamalar arası geçişleri yönetir. Yetersiz doğrulama, yazılımın girdiyi düzgün kontrol etmemesi durumunda ortaya çıkar ve saldırganların beklenmedik girdiler oluşturmasına olanak tanır. Bu da kontrol akışının değişmesi, kaynakların kontrol edilmesi veya keyfi kod çalıştırılması gibi sonuçlara yol açabilir.
Google, açığın ayrıntılarını geniş çapta yamalanana kadar gizli tutmayı tercih etti. Bu strateji, saldırganların açıktan daha fazla yararlanmasını engellemek için önemli. Tenable güvenlik firmasından Satnam Narang, yamaların yayılmasının zaman aldığını ve bu süreçte ayrıntıların ifşa edilmesinin tehlikeli olabileceğini vurguladı. Ayrıca, Chromium tabanlı diğer tarayıcıların da (Microsoft Edge gibi) bu açıktan etkilenebileceğini belirtti.
Bu yıl içinde Google'ın yamaladığı sıfırıncı gün açıkları arasında Temmuz'da WebRTC'deki bir heap buffer overflow (CVE-2022-2294), Mayıs'ta yine bir buffer overflow (CVE-2022-2294), Nisan'da V8 JavaScript motorundaki tür karışıklığı (CVE-2022-1364) ve Şubat'ta Animation bileşenindeki use-after-free (CVE-2022-0609) yer alıyor. Kuzey Koreli bilgisayar korsanlarının, Şubat ayındaki açığı keşfedilmeden haftalar önce istismar ettiği ortaya çıkmıştı.