Yeni Google Chrome’da Zero-Day Güvenlik Açığı

Google Chrome’unuzu hemen web tarama uygulamasının en son sürümüne güncellemelisiniz.  Google’ın Tehdit Analizi Grubu’ndan güvenlik araştırmacısı Clement Lecigne , geçtiğimiz ayın sonunda Chrome’da, uzaktan saldırganların rasgele kod yürütmesine ve bilgisayarların kontrolünü tamamen ele geçirmesine olanak verebilecek yüksek derecede bir güvenlik açığı olduğunu keşfetti ve bildirdi.

CVE-2019-5786 olarak atanan güvenlik açığı, Microsoft Windows, Apple macOS ve Linux dahil olmak üzere tüm büyük işletim sistemleri için web tarama yazılımını etkiler. Güvenlik açığı ile ilgili teknik ayrıntıları açıklamadan Chrome güvenlik ekibi, sorunun yalnızca Chrome tarayıcısının FileReader bileşeninde uzaktan kod yürütme saldırılarına neden olan ücretsiz bir güvenlik açığı olduğunu söylüyor.

FileReader, web uygulamalarının bir kullanıcının bilgisayarında depolanan dosyaların (veya işlenmemiş veri tamponlarının) içeriğini senkronize olmayan bir şekilde, bilgisayarda depolanan, okunacak dosyayı veya verileri belirtmek için ‘File’ veya ‘Blob’ nesnelerini kullanarak okumasına izin vermek için tasarlanmış standart bir API’dir. Kullanım sonrası güvenlik açığı, ayrıcalıklı olmayan bir kullanıcının etkilenen bir sistemde veya yazılımda ayrıcalıkları artırmasına olanak tanıyan bellekteki verilerin bozulmasına veya değiştirilmesine olanak sağlayan bir sınıf bellek bozulması hatasıdır.

FileReader bileşenindeki serbest kullanım sonrası güvenlik açığı, ayrıcalıklı olmayan saldırganların Chrome web tarayıcısında ayrıcalıklar kazanmasına ve sanal alan korumalarından kaçmalarına ve hedeflenen sistemde rasgele kod çalıştırmalarına olanak verebilir. Bu güvenlik açığından yararlanan bir saldırganın yapması gereken tek şey, herhangi bir etkileşimde bulunmak zorunda kalmadan özel hazırlanmış bir web sayfasını kurbanları yeni açmaları veya yönlendirmeleridir. Güvenlik açığı için olan düzeltme eki, kullanıcılarına önümüzdeki günlerde zaten alabilecekleri veya yakında alabilecekleri Windows, Mac ve Linux işletim sistemleri için 72.0.3626.121 numaralı bir Chrome güncellemesinde kullanıma sunuldu. Bu nedenle, sisteminizin Chrome web tarayıcısının güncellenmiş sürümünü çalıştırdığından emin olun.