Google, Chrome'da yakın zamanda keşfedilen ve aktif olarak istismar edilen bir güvenlik açığını gidermek için acil bir güncelleme yayınladı ve bu, tarayıcı için 2023'te tanımlanan sekizinci sıfır gün güvenlik açığını işaret ediyor.
Olarak tanımlandı CVE-2023-7024Google, güvenlik açığının Chrome'un WebRTC modülünde uzaktan kod yürütülmesine (RCE) izin veren önemli bir yığın arabellek taşması kusuru olduğunu söyledi.
WebRTC, API'ler aracılığıyla gerçek zamanlı iletişim sağlayan açık kaynaklı bir girişimdir ve önde gelen tarayıcı üreticileri arasında yaygın bir desteğe sahiptir.
CVE-2023-7024 Chrome Kullanıcılarını Nasıl Tehdit Ediyor?
Menlo Security'nin baş güvenlik mimarı Lionel Litty, istismardan kaynaklanan riskin oluşturucu sürecinde RCE'ye ulaşma yeteneği olduğunu açıklıyor. Bu, kötü niyetli bir aktörün, kullanıcının makinesinde, JavaScript korumalı alanının dışında rastgele ikili kod çalıştırabileceği anlamına gelir.
Ancak gerçek hasar, bu açığın istismar zincirinde ilk adım olarak kullanılmasına bağlıdır; Gerçekten tehlikeli olabilmesi için Chrome'un kendisindeki veya işletim sistemindeki bir sanal alan kaçış güvenlik açığıyla birleştirilmesi gerekir.
Litty şöyle diyor: "Ancak bu kod, Chrome'un çok işlemli mimarisi nedeniyle hâlâ korumalı alanda bulunuyor, dolayısıyla yalnızca bu güvenlik açığı nedeniyle bir saldırgan, kullanıcının dosyalarına erişemez veya kötü amaçlı yazılım dağıtmaya başlayamaz ve etkilenen sekme kapatıldığında makinedeki tutunma noktası kaybolur." kapalı."
Chrome'un Site Yalıtımı özelliğinin genellikle diğer sitelerdeki verileri koruyacağını, dolayısıyla bir saldırganın kurbanın banka bilgilerini hedefleyemeyeceğini belirtiyor ancak burada bazı ince uyarılar olduğunu da ekliyor.
Örneğin bu, hedef kaynağın aynı siteyi kullanması durumunda kötü amaçlı kaynağa maruz kalmasına neden olur: Başka bir deyişle, varsayımsal bir zararlı.paylaşılan.com kurban.paylaşılan.com'u hedefleyebilir.
Litty, "Mikrofona veya kameraya erişim kullanıcının iznini gerektirse de WebRTC'ye erişim bunu gerektirmez" diye açıklıyor. "Bu güvenlik açığının herhangi bir web sitesi tarafından, kötü amaçlı sayfayı ziyaret etmenin ötesinde herhangi bir kullanıcı girişi gerektirmeden hedeflenmesi mümkündür, dolayısıyla bu açıdan bakıldığında tehdit önemlidir."
Qualys Tehdit Araştırma Birimi'nin baş tehdit istihbaratı analisti Aubrey Perin, hatanın kapsamının Google Chrome'un ötesine uzandığını belirtiyor.
"Chrome'un kullanımı onun her yerde bulunmasıyla bağlantılı; Microsoft Edge bile Chromium kullanıyor" diyor. "Dolayısıyla Chrome'dan yararlanmak potansiyel olarak Edge kullanıcılarını hedef alabilir ve kötü aktörlerin daha geniş bir erişime sahip olmasına olanak sağlayabilir."
Ayrıca Chrome kullanan Android mobil cihazların kendi risk profillerine sahip olduğunu da belirtmek gerekir; bazı senaryolarda, özellikle de çok fazla RAM'e sahip olmayan cihazlarda, birden fazla siteyi aynı oluşturucu işlemine koyarlar.
Tarayıcılar En Büyük Siber Saldırı Hedefi Olmaya Devam Ediyor
Büyük tarayıcı satıcıları son zamanlarda artan sayıda sıfır gün hatası bildirdi; yalnızca Google bildirdi Ağustos ayından bu yana beş.
Apple, Microsoft ve Firefox bir açıklama yapan diğerleri arasında yer alıyor. bir dizi kritik güvenlik açığı bazı sıfır günler de dahil olmak üzere tarayıcılarında.
Delinea'nın baş güvenlik bilimcisi ve Danışmanlık CISO'su Joseph Carson, hükümet destekli bilgisayar korsanlarının ve siber suçluların popüler yazılımı hedef almasının ve sürekli olarak yararlanabilecekleri güvenlik açıklarını aramasının sürpriz olmadığını söylüyor.
"Bu, yazılımın yaygın kullanımı, çoklu platformlar, yüksek değerli hedefler nedeniyle genellikle daha büyük bir saldırı yüzeyine yol açıyor ve genellikle tedarik zinciri saldırılarına kapı açıyor" diyor.
Bu tür güvenlik açıklarının, birçok kullanıcının savunmasız sistemleri güncellemesi ve yama yapmasının da zaman aldığını belirtiyor.
Carson, "Dolayısıyla saldırganlar muhtemelen önümüzdeki aylarda bu savunmasız sistemleri hedef alacak" diyor.
Şunları ekliyor: "Bu güvenlik açığı aktif olarak istismar edildiğinden, bu muhtemelen birçok kullanıcının sisteminin zaten tehlikeye atıldığı anlamına geliyor ve hedeflenen cihazları tanımlayabilmenin ve bu sistemlere hızlı bir şekilde yama uygulayabilmenin önemli olacağı anlamına geliyor."
Sonuç olarak Carson, kuruluşların herhangi bir riski veya potansiyel maddi etkiyi belirlemek için bu güvenlik açığına sahip hassas sistemleri araştırması gerektiğini belirtiyor.
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome
- :vardır
- :dır-dir
- :olumsuzluk
- 2023
- 7
- a
- kabiliyet
- Yapabilmek
- erişim
- Başarmak
- aktif
- aktif
- aktörler
- adres
- Ekler
- danışma
- izin vermek
- veriyor
- tek başına
- zaten
- Ayrıca
- Rağmen
- arasında
- an
- analist
- ve
- android
- herhangi
- API'ler
- mimari
- ARE
- AS
- At
- saldırı
- saldırılar
- uzakta
- Kötü
- Bankacılık
- BE
- olmuştur
- olmak
- Ötesinde
- tarayıcı
- tarayıcılar
- tampon
- arabellek taşması
- Böcek
- böcek
- by
- kamera
- CAN
- yapamam
- zincir
- baş
- krom
- krom
- CISO'su
- kapalı
- kod
- COM
- kombine
- nasıl
- Yakın İletişim
- Uzlaşılmış
- rıza
- sürekli
- olabilir
- kritik
- Siber saldırı
- siber suçluların
- hasar
- Tehlikeli
- veri
- dağıtma
- Belirlemek
- Cihaz
- keşfetti
- do
- yok
- Kapı
- gereken
- kenar
- Sekizinci
- ya
- etkinleştirme
- kaçış
- özellikle
- Hatta
- örnek
- infaz
- açıklar
- sömürmek
- istismar
- sömürülen
- sömürme
- uzanır
- Özellikler(Hazırlık aşamasında)
- dosyalar
- Firefox
- Ad
- kusur
- İçin
- itibaren
- genellikle
- Goes
- Google Chrome
- Hükümet
- devlet destekli
- Büyüyen
- hackerlar
- Var
- he
- okuyun
- HTML
- HTTPS
- tespit
- belirlemek
- if
- darbe
- etkiledi
- önemli
- in
- Diğer
- Dahil olmak üzere
- bilgi
- Girişim
- giriş
- İstihbarat
- araştırmak
- izolasyon
- Veriliş
- IT
- ONUN
- kendisi
- JavaScript
- jpg
- sadece
- büyük
- öncülük etmek
- önemli
- İlanlar
- Muhtemelen
- Çok
- makine
- Makineleri
- kötü amaçlı yazılım
- çok
- işaretleme
- malzeme
- anlamına geliyor
- mikrofon
- Microsoft
- Microsoft Kenar
- Telefon
- mobil cihazlar
- modül
- ay
- çoklu
- ihtiyaçlar
- yok hayır
- ünlü
- notlar
- numara
- of
- on
- açık
- açık kaynak
- açılır
- or
- organizasyonlar
- köken
- OS
- Diğer
- Diğer
- dışarı
- dışında
- kendi
- Kanal
- Patch
- perspektif
- Platformlar
- Platon
- Plato Veri Zekası
- PlatoVeri
- noktaları
- Popüler
- mümkün
- potansiyel
- potansiyel
- süreç
- Profil
- korumak
- koymak
- hızla
- RAM
- ulaşmak
- gerçek
- gerçek zaman
- geçenlerde
- Bildirileri
- kalmak
- uzak
- Bildirilen
- gerektirir
- araştırma
- sonuç
- Risk
- riskler
- koşmak
- s
- Adı geçen
- aynı
- kum havuzu
- diyor
- senaryolar
- bilim adamı
- arama
- güvenlik
- hassas
- Paylaşılan
- meli
- önemli
- beri
- yer
- Yer
- So
- Yazılım
- biraz
- Kaynak
- Sponsor
- başlama
- adım
- Yine
- arz
- tedarik zinciri
- destek
- yüzey
- sürpriz
- Sistemler
- Bizi daha iyi tanımak için
- Hedef
- Hedeflenen
- hedefler
- o
- The
- ve bazı Asya
- Orada.
- bu nedenle
- Bunlar
- onlar
- Re-Tweet
- Bu
- gerçi?
- tehdit
- tehdit
- İçinden
- bağlı
- zaman
- için
- üst
- gerçekten
- türleri
- tipik
- altında
- birim
- Güncelleme
- acil
- kullanım
- kullanım
- kullanıcı
- kullanıcılar
- kullanım
- kullanma
- genellikle
- satıcıları
- Kurban
- güvenlik açıkları
- güvenlik açığı
- Savunmasız
- Web sitesi
- ne zaman
- süre
- Daha geniş
- yaygın
- Vahşi
- irade
- ile
- içinde
- olmadan
- sözler
- olur
- zefirnet