Google Chrome'daki Çoklu Güvenlik Açıkları Keyfi Kod Çalıştırılmasına İzin Verebilir
01 Haziran 2024
Google, 31 Mayıs 2024'te Google Chrome'daki birkaç kritik güvenlik açığını gidermek için güncellemeler yayınladı; bunların en ciddisi keyfi kod yürütmeye izin verebilir. Bu güvenlik açıkları, WebRTC, Dawn, Media Session, Presentation API ve Streams API dahil olmak üzere tarayıcının çeşitli bileşenlerinde keşfedildi. Güvenlik açıkları çeşitli güvenlik araştırmacıları tarafından bildirildi ve CVE-2024-5493 ile CVE-2024-5499 arasında değişen CVE numaraları atandı.
### Güvenlik Açıklarına Genel Bakış
1. **CVE-2024-5493: WebRTC'de Yığın Arabellek Taşması**
- Cassidy Kim tarafından bildirilen bu güvenlik açığı, WebRTC'de bir yığın arabellek taşmasıdır. Bir saldırganın oturum açmış kullanıcı bağlamında keyfi kod yürütmesine olanak tanır ve bu da potansiyel olarak programların yüklenmesine, verilerin görüntülenmesine, değiştirilmesine veya silinmesine veya tam kullanıcı haklarına sahip yeni hesaplar oluşturulmasına yol açabilir.
2. **CVE-2024-5494: Dawn'da Free'den Sonra Kullan**
- Cassidy Kim tarafından da bildirilen bu güvenlik açığı, Dawn'daki bir kullanım sonrası serbest bırakma sorunudur. Bir saldırganın, oturum açmış kullanıcının bağlamında keyfi kod yürütebilen kötü amaçlı bir HTML sayfası oluşturarak güvenlik açığından yararlanmasına olanak tanır.
3. **CVE-2024-5495: Dawn'da Free'den Sonra Kullan**
- wgslfuzz tarafından bildirilen bu güvenlik açığı, Dawn'daki bir diğer kullanım sonrası serbest bırakma sorunudur. Bir saldırganın, oturum açmış kullanıcının bağlamında keyfi kod yürütebilen kötü amaçlı bir HTML sayfası oluşturarak güvenlik açığından yararlanmasına olanak tanır.
4. **CVE-2024-5496: Medya Oturumunda Ücretsiz Kullanım**
- wgslfuzz tarafından bildirilen bu güvenlik açığı, Media Session'daki bir kullanım sonrası serbest bırakma sorunudur. Bir saldırganın, oturum açmış kullanıcının bağlamında keyfi kod yürütebilen kötü amaçlı bir HTML sayfası oluşturarak güvenlik açığından yararlanmasına olanak tanır.
5. **CVE-2024-5497: Klavye Girişlerinde Sınır Dışı Bellek Erişimi**
- Ant Group Tianqiong Güvenlik Laboratuvarı'ndan zh1x1an1221 tarafından bildirilen bu güvenlik açığı, Klavye Girişlerinde sınır dışı bellek erişimidir. Bir saldırganın, oturum açmış kullanıcının bağlamında keyfi kod yürütebilen kötü amaçlı bir HTML sayfası oluşturarak güvenlik açığından yararlanmasına olanak tanır.
6. **CVE-2024-5498: Sunum API'sinde Free After'ı Kullan**
- Anymous tarafından bildirilen bu güvenlik açığı, Presentation API'deki bir kullanım sonrası serbest bırakma sorunudur. Bir saldırganın, oturum açmış kullanıcının bağlamında keyfi kod yürütebilen kötü amaçlı bir HTML sayfası oluşturarak güvenlik açığından yararlanmasına olanak tanır.
7. **CVE-2024-5499: Akış API'sinde Sınır Dışı Yazma**
- Anonymous tarafından bildirilen bu güvenlik açığı, Streams API'de sınırların dışında bir yazmadır. Bir saldırganın oturum açmış kullanıcı bağlamında keyfi kod yürütmesine olanak tanır ve bu da potansiyel olarak programların yüklenmesine, verilerin görüntülenmesine, değiştirilmesine veya silinmesine veya tam kullanıcı haklarına sahip yeni hesaplar oluşturulmasına yol açabilir.
### Etki ve Öneriler
Bu güvenlik açıkları, bir saldırganın oturum açmış kullanıcı bağlamında keyfi kod yürütmesine izin verebilir ve bu da önemli güvenlik risklerine yol açabilir. Kullanıcılara, uygun testlerden hemen sonra Google tarafından sağlanan en son güncellemeleri güvenlik açığı olan sistemlere uygulamaları önerilir. Ayrıca, parolaları değiştirme, yalnızca parola kimlik doğrulamasıyla yerel hesapları tanımlama ve yerel hesapların parola kimlik doğrulamasıyla VPN'e bağlanmasını engelleme gibi ek güvenlik önlemlerinin uygulanması, bu güvenlik açıklarıyla ilişkili riskleri azaltmaya yardımcı olabilir.
### Çözüm
Google Chrome'daki son güncellemeler, keyfi kod yürütülmesine izin verebilecek birkaç kritik güvenlik açığını ele alıyor. Bu güvenlik açıkları, devam eden güvenlik araştırmalarının önemini ve kullanıcıların en son güvenlik yamalarıyla güncel kalma ihtiyacını vurguluyor. Kullanıcılar, bu güncellemeleri uygulayarak ve ek güvenlik önlemleri uygulayarak, istismar riskini önemli ölçüde azaltabilir ve sistemlerini olası tehditlerden koruyabilir.
### Referanslar
- [] Google Chrome Sürümleri. (2024, 31 Mayıs). Masaüstü için Chrome Dev Güncellemesi. https://chromereleases.googleblog.com adresinden alındı
- [] CISecurity. (2024, 31 Mayıs). Google Chrome'daki Çoklu Güvenlik Açıkları Keyfi Kod Yürütülmesine İzin Verebilir. https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbitrary-code-execution_2024-064 adresinden alındı
- [] Ubuntu. (2024, 30 Mayıs). CVE-2024-5499. https://ubuntu.com/security/CVE-2024-5499 adresinden alındı