Google, Chrome'un Yılın Beşinci Sıfır Günü'nü Yamaladı Dünya Geneli

Google, Chrome'un Yılın Beşinci Sıfır Günü'nü Yamaladı

Bu haftaki güncellemede yamalanan 11 hatadan biri olan yetersiz doğrulama girişi hatası, rastgele kod yürütülmesine izin verebilir ve aktif saldırı al...

Bu haftaki güncellemede yamalanan 11 hatadan biri olan yetersiz doğrulama girişi hatası, rastgele kod yürütülmesine izin verebilir ve aktif saldırı altındadır.

Google, bu yıl Chrome'da keşfedilen, aktif olarak yararlanılan beşinci sıfır gün güvenlik açığını, Çarşamba günü yayınlanan kararlı kanal güncellemesinde yer alan bir dizi düzeltmeden biri olarak yamaladı.

CVE-2022-2856 olarak takip edilen ve Ortak Güvenlik Açığı Puanlama Sisteminde (CVSS) yüksek olarak derecelendirilen hata, Google tarafından yayınlanan tavsiye belgesine göre "Amaçlardaki güvenilmeyen girişin yetersiz doğrulanması" ile ilişkilidir.

Google, 19 Temmuz'da rastgele kod yürütülmesine izin verebilecek sıfır gün hatasını bildirdikleri için Google Tehdit Analiz Grubundan (TAG) Ashley Shen ve Christian Resell'e teşekkür eder. Danışmanlık belgesi ayrıca Chrome'un diğer çeşitli sorunlarına yönelik 10 yamayı daha açıkladı.

Mobil uygulamalar için çeşitli bağlantı seçenekleri sunan bir şirket olan Branch'e göre niyetler, Chrome tarayıcısındaki Android cihazında bulunan ve daha önce bu süreci gerçekleştiren URI şemalarının yerini alan derin bağlantı özelliğidir.

Şirket web sitesinde, "Chrome'da geliştiricilerin, URI şemasına window.location veya iframe.src atamak yerine, bu belgede tanımlandığı gibi amaç dizelerini kullanmaları gerekiyor" dedi. Gönderiye göre niyet "karmaşıklık katıyor" ancak bağlantılarda "mobil uygulamanın yüklenmemesi durumunu otomatik olarak ele alıyor".

Yetersiz doğrulama, MITRE'nin Ortak Zayıflık Sayımı sitesine göre, kod içinde işlenirken veya diğer bileşenlerle iletişim kurarken güvenli olduklarından emin olmak için potansiyel olarak tehlikeli girdileri kontrol etmek için sıklıkla kullanılan bir teknik olan girdi doğrulamayla ilişkilidir.

Sitedeki bir gönderiye göre, "Yazılım girişi düzgün bir şekilde doğrulamadığında, bir saldırgan, girişi uygulamanın geri kalanı tarafından beklenmeyen bir biçimde oluşturabilir." "Bu, sistemin bazı bölümlerinin istenmeyen girdi almasına yol açacak ve bu da kontrol akışının değişmesine, bir kaynağın keyfi kontrolüne veya keyfi kod yürütülmesine neden olabilir."

İstismarları Savuşturmak

Tipik olduğu gibi Google, tehdit aktörlerinin bundan daha fazla yararlanmasını önlemek için hata geniş çapta yamalanana kadar hatanın belirli ayrıntılarını açıklamadı; bir güvenlik uzmanının belirttiği gibi bu strateji akıllıca bir stratejidir.

Siber güvenlik firması Tenable'da kıdemli personel araştırma mühendisi Satnam Narang, Threatpost'a gönderdiği bir e-postada şunları gözlemledi: "Etkin olarak yararlanılan bir sıfır gün güvenlik açığına ilişkin ayrıntıları tam bir yama kullanıma sunulduğunda yayınlamak, korkunç sonuçlara yol açabilir; çünkü güvenlik açığı bulunan sistemlere güvenlik güncellemelerinin sunulması zaman alır ve saldırganlar bu tür kusurlardan yararlanmaya çabalıyor."

Microsoft Edge gibi diğer Linux dağıtımlarının ve tarayıcılarının da Google'ın Chromium Projesi'ni temel alan kodları içerdiği göz önüne alındığında, bilgilerin saklanması da mantıklıdır. Bir güvenlik açığına yönelik bir istismar yayınlanırsa bunların hepsinin etkilenebileceğini söyledi.

Narang, "Savunmacıların bu tampona sahip olması son derece değerli" diye ekledi.

Güncellemedeki düzeltmelerin çoğunluğu yüksek veya orta riskli olarak derecelendirilen güvenlik açıklarına yönelik olsa da Google, 8 Ağustos'ta Google Project Zero'dan Sergei Glazunov tarafından bildirilen, FedCM'de CVE-2022-2852 olarak takip edilen bir serbest kullanım sonrası sorun olan CVE-2022-2852 olarak takip edilen kritik bir hatayı yamaladı. Google'a göre FedCM (Federal Kimlik Bilgisi Yönetimi API'sinin kısaltması), web üzerindeki birleşik kimlik akışları için kullanım durumuna özel bir soyutlama sağlıyor.

Şimdiye Kadarki Beşinci Chrome 0 Günlük Yaması

Sıfır gün yaması, Google'ın bu yıl şu ana kadar yamaladığı aktif saldırı altındaki beşinci Chrome hatasıdır.

Temmuz ayında şirket, Chrome'a ​​gerçek zamanlı iletişim yeteneğini sağlayan motor olan WebRTC'de CVE-2022-2294 olarak takip edilen, aktif olarak yararlanılan bir yığın arabellek taşması kusurunu düzeltti; Mayıs ayında ise CVE-2022-2294 olarak takip edilen ve aktif saldırı altında olan ve bir yama ile kapatılan ayrı bir arabellek taşması kusuruydu.

Nisan ayında Google, Chrome'un saldırganların zaten kullandığı V8 JavaScript motorunu kullanmasını etkileyen bir tür karışıklık hatası olan CVE-2022-1364'ü yamaladı.

dy atılmıştı. Önceki ay, CVE-2022-1096 olarak takip edilen ve aktif saldırı altında olan V8'deki ayrı bir tür kafa karışıklığı sorunu da aceleci bir yama yapılmasına yol açtı.

Şubat ayında, Chrome'un Animasyon bileşeninde CVE-2022-0609 olarak takip edilen ve zaten saldırı altında olan bir serbest kullanım sonrası kusur olan bu yılın Chrome sıfır günlerinin ilki için bir düzeltme görüldü. Daha sonra, Kuzey Koreli bilgisayar korsanlarının kusurun keşfedilip yamalanmasından haftalar önce bu kusurdan yararlandıkları ortaya çıktı.

Paylaş: