EKİM 2024 - Android Uygulamalarındaki Kritik Güvenlik Açıkları
Son zamanlarda, Android işletim sistemi ve çeşitli uygulamalarda bir dizi güvenlik açığı tespit edilmiştir. Bu açıklar, kullanıcıların verilerini tehlikeye atabilecek, cihazlar üzerinde yetkisiz erişim sağlayabilecek veya kritik bilgilerin ifşa olmasına neden olabilecek tehditler içermektedir. Aşağıda, 2024 yılı Ekim ayında yayımlanan önemli CVE (Common Vulnerabilities and Exposures) güvenlik açıklarının detaylarına yer verilmektedir.
CVE-2024-42041: VideoDownload Uygulamasında Arbitrar JavaScript Kodu Yürütme Açığı
VideoDownload uygulaması, "com.videodownload.browser.videodownloader" (aka AppTool-Browser-Video All Video Downloader), saldırganlara arbitrar JavaScript kodu çalıştırma yetkisi veriyor. Bu, kötü niyetli kullanıcıların uygulama içinde kötü amaçlı kod çalıştırmasına imkan tanır.
Yayınlanma Tarihi: 30 Ekim 2024
CVSS Puanı: (Henüz mevcut değil)
Özellikler: Arbitrar kod yürütme, güvenlik açığına sahip uygulamalar üzerinde uzaktan kontrol imkanı.
CVE-2024-37573: Talkatone Uygulamasında Telefon Görüşmesi Yaptırma Açığı
Talkatone uygulamasındaki bir güvenlik açığı, herhangi bir uygulamanın kullanıcı etkileşimi olmadan telefon görüşmesi yapabilmesine olanak tanımaktadır. Bu açık, saldırganların sistemde izinsiz telefon görüşmeleri yapmasına yol açabilir.
Yayınlanma Tarihi: 30 Ekim 2024
CVSS Puanı: (Henüz mevcut değil)
Özellikler: Telefon görüşmesi yapma, izinsiz erişim ve telefon güvenliği ihlali.
CVE-2024-47031: Google Pixel Cihazlarında Yetki Yükseltme Açığı
Android 2024-10-05 öncesi sürümlerde bulunan bu açık, Google Pixel cihazlarında ABL bileşeninde yetki yükseltmeye neden olabilir.
Yayınlanma Tarihi: 25 Ekim 2024
CVSS Puanı: (Henüz mevcut değil)
Özellikler: Yetki yükseltme, cihazın yönetici seviyesinde kontrol ele geçirilmesi.
CVE-2024-44100: Google Pixel Modem Bileşeninde Bilgi Sızdırma Açığı
Bu güvenlik açığı, Google Pixel cihazlarında modem bileşeninde bilgi sızdırılmasına yol açabilir.
Yayınlanma Tarihi: 25 Ekim 2024
CVSS Puanı: 7.5 YÜKSEK
Özellikler: Bilgi sızdırma, kullanıcı verileri üzerinde tehlike oluşturma.
CVE-2024-9302: WordPress App Builder Plugin’de Yetki Yükseltme Açığı
App Builder plugin’i, zayıf şifre sıfırlama mekanizmaları nedeniyle bir saldırganın bir kullanıcının hesabını ele geçirmesine olanak tanır. Bu, yetkisiz şifre değiştirme ve kullanıcı hesaplarını kontrol etme fırsatı sunar.
Yayınlanma Tarihi: 25 Ekim 2024
CVSS Puanı: 9.8 KRİTİK
Özellikler: Yetki yükseltme, kullanıcı hesaplarının ele geçirilmesi.
CVE-2024-9956: Google Chrome’da WebAuthentication’de Yetki Yükseltme Açığı
Google Chrome’un Android sürümünde WebAuthentication bileşeninde bulunan bu açık, saldırganların yetki yükseltmesine ve sistemde kontrol sağlamasına yol açabilir.
Yayınlanma Tarihi: 15 Ekim 2024
CVSS Puanı: (Henüz mevcut değil)
Özellikler: Yetki yükseltme, kötü niyetli web sayfası aracılığıyla güvenlik ihlali.
CVE-2024-34672: SamsungVideoPlayer'da Hatalı Giriş Denetimi
SamsungVideoPlayer uygulamasındaki hatalı giriş denetimi, yerel saldırganların başka kullanıcıların video dosyalarına erişmesine olanak tanır.
Yayınlanma Tarihi: 8 Ekim 2024
CVSS Puanı: (Henüz mevcut değil)
Özellikler: Hatalı giriş denetimi, kullanıcı verilerine izinsiz erişim.
CVE-2024-9395: Firefox Android’de Dosya İsim Uzantısı Gizleme Açığı
Firefox'un Android sürümünde, özel olarak hazırlanmış bir dosya ismi indirilen dosyanın uzantısını gizleyebilir. Bu, kullanıcıları yanıltarak kötü amaçlı dosya açılmasına neden olabilir.
Yayınlanma Tarihi: 1 Ekim 2024
CVSS Puanı: (Henüz mevcut değil)
Özellikler: Dosya uzantısı gizleme, kullanıcıyı yanıltma ve zararlı yazılımlara maruz bırakma.
CVE-2024-9394: Firefox Android’de JavaScript Yürütme Açığı
Bu güvenlik açığı, saldırganların Firefox'un Android sürümünde özel bir yanıtla kötü amaçlı JavaScript kodu çalıştırmasına olanak tanır. Bu, çapraz kökenli içerik erişimi sağlar.
Yayınlanma Tarihi: 1 Ekim 2024
CVSS Puanı: 7.5 YÜKSEK
Özellikler: JavaScript yürütme, veri hırsızlığı ve güvenlik ihlali.
Tags
cve