Microsoft iki popüler açık kaynak kütüphanesindeki sıfır gün güvenlik açıklarını düzeltmek için yamalar yayınladı. Bu güvenlik kusurları Skype, Teams ve Edge tarayıcısı da dahil olmak üzere birçok Microsoft ürününü etkiliyordu. Ancak teknoloji devi, bu sıfır gün güvenlik açıklarından ürünlerini hedeflemek için yararlanılıp yararlanılmadığını açıklamadı.
Sıfır gün güvenlik açıkları durumunda, geliştiricilere hataları düzeltmek için herhangi bir önceden bildirimde bulunulmaz. Bu iki güvenlik açığı geçen ay keşfedildi. Araştırmacılara göre Google ve Citizen Lab’de, her iki hata da casus yazılımlı bireyleri hedeflemek için aktif olarak kullanıldı.
Microsoft, bir blog yazısında, ürünlerine entegre ettiği webp ve libvpx kitaplıklarındaki iki güvenlik açığını gidermek için düzeltmeler yaptığını belirtti. Şirket ayrıca her iki güvenlik açığı için de istismarların mevcut olduğunu kabul etti. Ancak TechCrunch’a göre Microsoft, ürünlerinin vahşi ortamda istismar edilip edilmediği veya şirketin bunu bilme olanağına sahip olup olmadığı konusunda yorum yapmaktan kaçındı.
Teknoloji uzmanları neden hatayı düzeltmek için acele etti?
Güvenlik araştırmacılarına göre, savunmasız webp kütüphanesindeki hata Elma ürünlerine entegre olanlardan yararlanıldı. Ajans ayrıca bilgisayar korsanlarının bu saldırı için cihaz sahibinin herhangi bir etkileşimine ihtiyaç duymadığını da kaydetti. Bu tür saldırılara sıfır tıklama saldırısı da denir. Apple, iPhone’lar, iPad’ler, Mac’ler ve Saatler için güvenlik düzeltmeleri yayınladı ve hatanın bilinmeyen bilgisayar korsanları tarafından istismar edilmiş olabileceğini belirtti.
Google, Chrome’daki ve diğer ürünlerdeki webp kitaplığını kullanır. Şirket ayrıca kullanıcılarını bir istismardan korumak için Eylül ayında hatayı düzeltmeye başladı. Google ayrıca “vahşi ortamda var olan” güvenlik açığının farkında olduğunu da söyledi.
Firefox tarayıcısını ve Thunderbird e-posta istemcisini çalıştıran Mozilla da uygulamalarındaki hatayı düzeltti. Şirket, hatanın diğer ürünlerde de kullanıldığının farkında olduğunu belirtti.
Ayrıca Oku
Google ayrıca, daha sonra Chrome’a entegre edilen savunmasız libvpx hatasını düzeltmek için bir güncelleme de yayınladı.
Apple yakın zamanda iPhone ve iPad’lerdeki libvpx hatasını düzeltmek için başka bir güvenlik güncellemesi yayınladı. Güncelleme aynı zamanda Apple’ın iOS 16.6’dan önceki yazılımları çalıştıran cihazlardan yararlandığını söylediği başka bir çekirdek güvenlik açığını da gideriyor.
Libvpx’teki sıfır gün açığı Microsoft ürünlerini de etkiledi. Ancak rapor, bilgisayar korsanlarının bunu şirketin ürünlerini kullanan kullanıcılara karşı kullanıp kullanmadıklarını doğrulamıyor.
Bilgisayar korsanları güvenlik açıklarından nasıl yararlandı?
Hatalar iki yaygın açık kaynak kütüphanesinde (webp ve libvpx) keşfedildi. Bu kitaplıklar, görüntüleri ve videoları işlemek için tarayıcılara, uygulamalara ve telefonlara geniş ölçüde entegre edilmiştir. Bu kütüphaneler birçok teknoloji şirketi, telefon üreticisi ve uygulama geliştiricisi tarafından kullanılmaktadır. Güvenlik araştırmacıları, hataların casus yazılım yerleştirmek için kötüye kullanıldığı konusunda uyarıda bulunduktan sonra, bu şirketler aynı zamanda ürünlerindeki savunmasız kitaplıkları güncellemek için de harekete geçti.
Eylül ayında Citizen Lab’deki güvenlik araştırmacıları, şirketin Pegasus casus yazılımını kullanan NSO Group müşterilerinin, güncel ve tam yama uygulanmış bir iPhone yazılımında bulunan bir güvenlik açığından yararlandığına dair kanıtlar bulduklarını söyledi.
Daha sonra Google’ın güvenlik araştırmacıları başka bir güvenlik açığı bulduklarını söyledi. Bu güvenlik açığı libvpx kütüphanesinde mevcuttu. Şirket, ticari bir casus yazılım satıcısı tarafından kötüye kullanıldığını söyledi ancak satıcının adını vermeyi reddetti.
FacebookheyecanLinkedIn
makalenin sonu