Google, Chrome’da yakın zamanda keşfedilen ve aktif olarak istismar edilen bir güvenlik açığını gidermek için acil bir güncelleme yayınladı ve bu, tarayıcı için 2023’te tanımlanan sekizinci sıfır gün güvenlik açığını işaret ediyor.
Olarak tanımlandı CVE-2023-7024Google, güvenlik açığının Chrome’un WebRTC modülünde uzaktan kod yürütülmesine (RCE) izin veren önemli bir yığın arabellek taşması kusuru olduğunu söyledi.
WebRTC, API’ler aracılığıyla gerçek zamanlı iletişim sağlayan açık kaynaklı bir girişimdir ve önde gelen tarayıcı üreticileri arasında yaygın bir desteğe sahiptir.
CVE-2023-7024 Chrome Kullanıcılarını Nasıl Tehdit Ediyor?
Menlo Security’nin baş güvenlik mimarı Lionel Litty, istismardan kaynaklanan riskin oluşturucu sürecinde RCE’ye ulaşma yeteneği olduğunu açıklıyor. Bu, kötü niyetli bir aktörün kullanıcının makinesinde, JavaScript sanal alanının dışında rastgele ikili kod çalıştırabileceği anlamına gelir.
Ancak gerçek hasar, bu açığın istismar zincirinde ilk adım olarak kullanılmasına bağlıdır; Gerçekten tehlikeli olabilmesi için Chrome’un kendisindeki veya işletim sistemindeki bir sanal alan kaçış güvenlik açığıyla birleştirilmesi gerekir.
Litty, “Bu kod, Chrome’un çok işlemli mimarisi nedeniyle hala korumalı alanda bulunuyor” diyor ve şöyle devam ediyor: “Dolayısıyla, yalnızca bu güvenlik açığı nedeniyle bir saldırgan, kullanıcının dosyalarına erişemez veya kötü amaçlı yazılım dağıtmaya başlayamaz ve etkilenen sekme kapatıldığında makine üzerindeki tutunması kaybolur. kapalı.”
Chrome’un Site Yalıtımı özelliğinin genel olarak diğer sitelerdeki verileri koruyacağını, dolayısıyla bir saldırganın kurbanın banka bilgilerini hedefleyemeyeceğini belirtiyor ancak burada bazı ince uyarılar olduğunu da ekliyor.
Örneğin bu, hedef kaynağın aynı siteyi kullanması durumunda kötü amaçlı kaynağa maruz kalmasına neden olur: Başka bir deyişle, varsayımsal bir zararlı.paylaşılan.com kurban.paylaşılan.com’u hedefleyebilir.
Litty, “Mikrofona veya kameraya erişim kullanıcının iznini gerektirse de WebRTC’ye erişim bunu gerektirmez” diye açıklıyor. “Bu güvenlik açığının, kötü amaçlı sayfayı ziyaret etmenin ötesinde herhangi bir kullanıcı girişi gerektirmeden herhangi bir web sitesi tarafından hedeflenmesi mümkündür, dolayısıyla bu açıdan bakıldığında tehdit önemlidir.”
Qualys Tehdit Araştırma Birimi’nin baş tehdit istihbaratı analisti Aubrey Perin, hatanın kapsamının Google Chrome’un ötesine uzandığını belirtiyor.
“Chrome’un kullanımı onun her yerde bulunmasıyla bağlantılı; Microsoft Edge bile Chromium’u kullanıyor” diyor. “Dolayısıyla Chrome’dan yararlanmak potansiyel olarak Edge kullanıcılarını hedef alabilir ve kötü aktörlerin daha geniş bir erişime sahip olmasına olanak sağlayabilir.”
Ayrıca Chrome kullanan Android mobil cihazların kendi risk profillerine sahip olduğunu da belirtmek gerekir; bazı senaryolarda, özellikle de çok fazla RAM’e sahip olmayan cihazlarda, birden fazla siteyi aynı oluşturucu işlemine koyarlar.
Tarayıcılar En Büyük Siber Saldırı Hedefi Olmaya Devam Ediyor
Büyük tarayıcı satıcıları son zamanlarda artan sayıda sıfır gün hatası bildirdi; yalnızca Google bildirdi Ağustos ayından bu yana beş.
Apple, Microsoft ve Firefox bir açıklama yapan diğerleri arasında yer alıyor. bir dizi kritik güvenlik açığı bazı sıfır günler de dahil olmak üzere tarayıcılarında.
Delinea’nın baş güvenlik bilimcisi ve Danışmanlık CISO’su Joseph Carson, hükümet destekli bilgisayar korsanlarının ve siber suçluların popüler yazılımı hedef almasının ve sürekli olarak yararlanılacak güvenlik açıklarını aramasının sürpriz olmadığını söylüyor.
“Bu, yazılımın yaygın kullanımı, çoklu platformlar, yüksek değerli hedefler nedeniyle genellikle daha büyük bir saldırı yüzeyine yol açıyor ve genellikle tedarik zinciri saldırılarına kapı açıyor” diyor.
Bu tür güvenlik açıklarının, birçok kullanıcının savunmasız sistemleri güncellemesi ve yama yapmasının da zaman aldığını belirtiyor.
Carson, “Dolayısıyla saldırganlar muhtemelen önümüzdeki aylarda bu savunmasız sistemleri hedef alacak” diyor.
Şunları ekliyor: “Bu güvenlik açığı aktif olarak istismar edildiğinden, bu muhtemelen birçok kullanıcının sisteminin zaten tehlikeye atıldığı anlamına geliyor ve hedeflenen cihazları tanımlayabilmenin ve bu sistemlere hızlı bir şekilde yama uygulayabilmenin önemli olacağı anlamına geliyor.”
Sonuç olarak Carson, kuruluşların herhangi bir riski veya potansiyel maddi etkiyi belirlemek için bu güvenlik açığına sahip hassas sistemleri araştırması gerektiğini belirtiyor.