Google'ın bu hafta piyasaya sürülen Windows, Mac ve Linux için Chrome 105'in ilk kararlı kanal sürümü, yazılımın önceki sürümlerindeki bir "kritik" kusur ve şirketin "yüksek" olarak derecelendirdiği sekiz güvenlik açığı da dahil olmak üzere 24 güvenlik açığına yönelik düzeltmeler içeriyordu. ciddiyet.
Google'ın Chrome 105 ile ele aldığı güvenlik sorunlarının çoğu (dokuz tanesi), serbest kaldıktan sonra kullanım güvenlik açıkları veya saldırganların kötü amaçlı kod yürütmek, verileri bozmak ve diğer kötü amaçlı eylemleri gerçekleştirmek için önceden boş bellek alanlarını kullanmasına olanak tanıyan kusurlardı. . Yamalı güvenlik açıklarından dördü, WebUI ve Screen Capture dahil olmak üzere çeşitli Chrome bileşenlerindeki yığın arabellek taşmalarından kaynaklanıyordu.
Saldırganlar genellikle rastgele kod çalıştırmak, verilerin üzerine yazmak, sistemleri çökertmek ve hizmet reddi koşullarını tetiklemek gibi çeşitli kötü amaçlı amaçlarla arabellek taşmalarından yararlanır.
Pano Üzerine Yazma
Google'ın panolarla ilgili güncelleme merkezlerinde çözmediği bir sorun. Malwarebytes'e göre, Google Chrome veya Chromium tabanlı herhangi bir tarayıcının kullanıcıları bir web sitesini ziyaret ettiğinde, site istediği içeriği kullanıcının işletim sistemi panosuna gönderebilirkullanıcının izni veya herhangi bir etkileşimi olmadan.
Malwarebytes, "Bu, bir web sitesini ziyaret ettiğinizde panonuzdaki verilerin sizin izniniz veya bilginiz olmadan üzerine yazılabileceği anlamına geliyor" dedi.
Güvenlik sağlayıcısı, bunun, kullanıcıların başka bir yere kesip yapıştırmak isteyebilecekleri değerli verileri kaybetmelerine yol açabileceğini ve aynı zamanda saldırganlara, kullanıcının sistemine kötü amaçlı kod gizlice sokmayı deneyebilecekleri bir alan sağladığını söyledi. Malwarebytes, sorunun, Chrome ve Chromium tabanlı tarayıcılarda, kullanıcıların bir web sitesinden içeriği kullanıcının panosuna kopyalamak için "Ctrl+C" tuşlarını kullanmak gibi belirli adımları atmasına yönelik herhangi bir gereksinimin bulunmamasından kaynaklandığını söyledi.
Güvenlik araştırmacısı Jeff Johnson, Chrome'daki sorunun daha geniş bir sorunun parçası olduğunu belirledi bu hem Safari'yi hem de Firefox'u etkiler ilave olarak. Bu haftaki bir raporda, "Chrome şu anda en kötü suçlu, çünkü panoya yazmak için kullanıcı hareketi gereksinimi sürüm 104'te kazara bozuldu" dedi.
Ancak gerçek şu ki Johnson, Firefox ve Safari gibi diğer tarayıcıların kullanıcılarının sistem panolarının üzerine yazan web sitelerine sanıldığından daha kolay sahip olabileceğini söyledi. Her ne kadar bu tarayıcıların her ikisi de kullanıcıların web sitesi içeriğini panolarına kopyalamak için bazı eylemler gerçekleştirmesini gerektirse de, eylemler hayal edebileceklerinden çok daha geniştir.
Johnson, örneğin bir ekrana odaklanmak veya tuşa basma/tuş yukarı ve fareyi aşağıya/fareyi kaldırma gibi eylemlerin, web sitesi içeriğinin kullanıcının bilgisi olmadan panoya kopyalanmasıyla sonuçlanabileceğini söyledi.
Araştırmacı, Chrome geliştiricilerinin sorunun zaten farkında olduğunu ve bu sorunu çözmeye çalıştığını belirtti. Google, Dark Reading'in yorum talebine hemen yanıt vermedi.
Digital Shadows'un kıdemli siber tehdit analisti Ivan Righi, "Saldırganlar, kötü amaçlı bağlantıları kullanıcıların panolarına kopyalamak için bu hatayı kötüye kullanabilir, bu da kullanıcıların bu bağlantıları adres çubuklarına yapıştırmasına ve kötü amaçlı sitelere yanlışlıkla erişmesine neden olabilir" diyor.
“Bu hatanın istismar edilmesinin bir başka yolu da sahte kripto para birimi işlemleri gerçekleştirmektir. Tehdit aktörleri, kullanıcıların işlemler için yanlış cüzdan adreslerini girmelerini sağlamak amacıyla sosyal mühendislik saldırılarıyla birlikte bu kusurdan yararlanabilirler" diyor Righi. Ancak bu tür saldırıların başarılı olma ihtimalinin düşük olduğunu çünkü kullanıcıların panolarına yerleştirilen anormal içerikleri muhtemelen fark edeceklerini söylüyor.
Çok sayıda Ücretsiz Kullanım Sonrası Sorun
Bu arada, Google'ın Chrome 2022'in kararlı sürümüyle ele aldığı tek kritik güvenlik açığı (CVE-3038-105), kendi Project Zero hata arama ekibinden bir güvenlik araştırmacısı tarafından bildirildi: Google Chrome Ağ Hizmeti'ndeki serbest kullanım kusuru, uzaktaki saldırganların rastgele kod yürütmesinin bir yolu
veya silahlı bir web sitesini ziyaret etmelerini sağlayarak kullanıcı sistemlerinde hizmet reddi koşullarını tetikleyebilirsiniz.
Harici hata avcıları ve güvenlik araştırmacıları, Google'ın bu hafta Chrome'da ele aldığı kalan tüm güvenlik açıklarını bildirdi. Bunların arasında en önemli olanı, Çin'in 2022 Güvenlik Açığı Araştırma Enstitüsü'nden iki araştırmacının Google'a bildirdiği, WebSQL'de yüksek önem derecesine sahip, kullanıcıların serbest bıraktığı bir güvenlik açığı olan CVE-3039-360 gibi görünüyor. Araştırmacılar, hatayı Google'a bildirmeleri karşılığında 10,000 ABD doları aldı; bu, mevcut grupta verilen en yüksek miktar.
Chrome Layout'taki bir başka yüksek etkili, serbest kullanım sonrası kusur, sorunu Google'a bildiren anonim güvenlik araştırmacısına 9,000 ABD doları kazandırdı. Geri kalan hatalar için ödüller 1,000 ila 7,500 dolar arasında değişiyordu. Google, dört hata açıklaması için henüz ödül belirlemedi.
Büyük satıcılar arasında standart bir uygulama haline gelen Google, çoğu kullanıcı Chrome'un yeni ve kararlı sürümünü uygulama fırsatına sahip olana kadar hata ayrıntılarına erişimi kısıtladığını söyledi.
"Ayrıca, hatanın diğer projelerin benzer şekilde bağlı olduğu ancak henüz düzeltmediği bir üçüncü taraf kitaplığında mevcut olması durumunda da kısıtlamaları koruyacağız." Google bu hafta bir blogda şunları söyledi:. Kıdemli bir Microsoft güvenlik yöneticisi yakın zamanda aynı nedeni kullanarak Microsoft'un hata açıklamalarının neden aynı zamanda yetersiz ayrıntı içerdiğini açıklayın bugünlerde.
Kullanıcıların Chrome 105'in kararlı sürümüne güncelleme yapmak istemelerinin ana nedeni neredeyse kesinlikle hata düzeltmeleri olsa da, yeni tarayıcı sürümü aynı zamanda bir dizi ek özellik de sunuyor. Bunlar geliştiricilerin aşamalı Web uygulamalarına kapatma, büyütme veya simge durumuna küçültme gibi Windows kontrol düğmeleri eklemesine olanak tanıyan özellikler, Android'de Chrome için yeni bir resim içinde resim API'si ve Chrome'un Gezinme API'sinde iyileştirmeler.
