Ekim 2024 - Bitdefender Güvenlik Açıkları
CVE-2023-49570: Bitdefender Total Security'de Güvensiz HTTPS Taraması
Bitdefender Total Security'nin HTTPS tarama işlevinde, yetkisiz sertifika yetkililerinden gelen sertifikalara güvenmesine neden olan bir güvenlik açığı keşfedildi. Bu kusur, yazılımın "Temel Kısıtlamalar" uzantısında "Son Varlık" belirtilmiş olsa bile sertifikalara güvenmesine yol açıyor. Bu güvenlik açığı, bir saldırganın kullanıcı ile web sitesi arasındaki iletişimi kesip değiştirerek bir Ortadaki Adam (MITM) saldırısı gerçekleştirmesine olanak tanıyabilir.
- Çıkış Tarihi: 18 Ekim 2024
- CVSS Puanı: 7.4 YÜKSEK
- Özellikler: Güvenli olmayan sertifika doğrulaması, kullanıcı verilerinin tehlikeye atılmasına neden olabilir.
CVE-2023-6058: Bitdefender Safepay'deki HTTPS Bağlantılarında Güvenlik Açığı
Bitdefender Safepay'in HTTPS bağlantılarını nasıl ele aldığı konusunda bir güvenlik açığı tespit edildi. Yazılım, güvenilmeyen bir sunucu sertifikası nedeniyle bir bağlantıyı engellediğinde, kullanıcının siteyi bir istisna listesine eklemesine izin verir. Bu özellik, bir saldırganın kendi kendine imzalanmış bir sertifika kullanarak bir MITM saldırısı gerçekleştirmesini sağlayabilir, çünkü istisna listesine eklenen siteler sonraki HTTPS taramalarında güvenilir olarak kabul edilir.
- Çıkış Tarihi: 18 Ekim 2024
- CVSS Puanı: 6.8 ORTA
- Özellikler: İstisna listesi özelliği, hassas iletişimlerin ele geçirilmesi riskini ortadan kaldırır.
CVE-2023-6057: Bitdefender Total Security'deki DSA Sertifikalarına Güvensiz Güven
Bitdefender Total Security'nin HTTPS tarama işlevinde, DSA algoritması kullanılarak imzalanan sertifikalara güvensiz bir şekilde güvendiği bir güvenlik açığı bulundu. Uygunsuz sertifika zinciri doğrulaması nedeniyle, bir saldırgan keyfi sitelere MITM SSL bağlantıları kurmak için DSA imzalı bir sertifika kullanabilir.
- Çıkış Tarihi: 18 Ekim 2024
- CVSS Puanı: 7.4 YÜKSEK
- Özellikler: Hatalı sertifika doğrulaması, güvenli bağlantıların tehlikeye girmesi.
CVE-2023-6056: Bitdefender Total Security'deki Kendi Kendine İmzalanmış Sertifikalardaki Güven Açığı
Bitdefender Total Security, uygun doğrulama yapılmadan RIPEMD-160 karma algoritmasıyla imzalanmış sertifikalara güvenir. Bu güvenlik açığı, saldırganların kendi kendine imzalanmış bir sertifika kullanarak keyfi sitelere MITM SSL bağlantıları kurmasını sağlar.
- Çıkış Tarihi: 18 Ekim 2024
- CVSS Puanı: 7.4 YÜKSEK
- Özellikler: Kendinden imzalı sertifikalara güven, bağlantı güvenliğini önemli ölçüde zayıflatır.
CVE-2023-6055: Bitdefender Total Security'de Sunucu Kimlik Doğrulama Güvenlik Açığı
Bitdefender Total Security, HTTPS tarama işlevinde sertifikaları doğrulamada eksikliklere sahiptir. Özellikle, bir site sertifikası "Sunucu Kimlik Doğrulaması" özniteliğini içermiyorsa, yazılım bunu doğrulamadan kabul edebilir. Bu kusur, bir saldırganın kullanıcı ile web sitesi arasındaki iletişimi kesmesine ve MITM saldırılarını etkinleştirmesine olanak tanır.
- Çıkış Tarihi: 18 Ekim 2024
- CVSS Puanı: 7.4 YÜKSEK
- Özellikler: Doğrulama eksikliği, potansiyel olarak kullanıcı verilerinin manipüle edilmesine olanak sağlıyor.
CVE-2023-49567: Bitdefender Total Security'de MD5 ve SHA1 Sertifikalarına Güvensiz Güven
Bitdefender Total Security, çarpışmaya eğilimli MD5 ve SHA1 karma işlevleriyle imzalanmış sertifikalara güvenir. Bu güvenlik açığı, saldırganların sahte sertifikalar oluşturmasına ve MITM SSL bağlantıları kurmasına olanak tanıyabilir. Yazılım bu sertifikalara güvenir ve sahte sitelere güvenli bağlantılar kurulmasına izin verir.
- Çıkış Tarihi: 18 Ekim 2024
- CVSS Puanı: 6.8 ORTA
- Özellikler: Zayıf karma algoritmalarına güvenin, kullanıcıları dolandırıcı sitelere yönlendirme potansiyeli vardır.