Google Chrome: geliştiriciler üç boşluğu dolduruyor, çerez koruması üzerinde çalışıyor
Google, Chrome web tarayıcısı için güncellemeler yayınladı. Bu Çarşamba, geliştiriciler üç güvenlik açığını kapatacak. Tarayıcı kullanıcılarına yönelik riskin yüksek olduğunu düşünüyorlar. Google geliştiricileri ayrıca çerez hırsızlığını önleyecek mekanizmalar üzerinde çalışıyor.
Duyuru
Yayın duyurusunda Google programcıları, Javascript V8 motorundaki “uygunsuz uygulamanın” güvenlik riski oluşturduğunu yazıyor (CVE-2024-3156, CVSS değeri yok, Google'a göre risk “yüksek“). Yer imi yöneticisi programının kodunda, saldırganlar, halihazırda paylaşılan kaynakları yeniden kullanan ve içeriklerini tanımsız bırakan bir serbest bırakma sonrası kullanım güvenlik açığından yararlanabilir (CVE-2024-3158, CVSS değeri yok, yüksek).
Chrome'da üç yüksek riskli güvenlik açığı
Ayrıca, güvenlik açığı muhabirleri Edouard Bochin ve Tao Yan'ın bu yıl Pwn2Own etkinliğinde gösterdiği gibi, Javascript V8 motorunda sınırların dışındaki erişim kötüye kullanılabilir. Her üç tür güvenlik açığı da genellikle manipüle edilmiş bir web sitesi görüntülenerek kötüye kullanılabilir.
Google geliştiricileri, Android için Chrome 123.0.6312.99, Linux için 123.0.6312.105 ve macOS ve Windows için 123.0.6312.105/.106/.107 sürümlerindeki güvenlik açıklarını iyileştirmektedir. Genişletilmiş kararlı sürüm, 122 sürüm aralığında kalır ve şu anda Mac ve Windows için 122.0.6261.156'dır.
Her şey güncel mi?
Tarayıcınızın güncel olup olmadığını sürüm iletişim kutusundan kontrol edebilirsiniz. Bu, adres çubuğunun sağında üç noktalı sembolün arkasında bulunan tarayıcı menüsüne tıklandıktan sonra ve ardından “Yardım” – “Google Chrome Hakkında” aracılığıyla bir sonraki yola tıklandıktan sonra açılır.
Sürüm iletişim kutusu, çalıştırmakta olduğunuz yazılımın sürümünü gösterir ve gerekirse güncelleme işlemini başlatır.
(Resim: ekran görüntüsü / dmk)
Linux altında, kullanılan dağıtımın yazılım yönetimi güncellenmiş sürümü bulur. Microsoft Edge gibi tarayıcılar da Chromium tabanlı olduğundan bu eksikliklerden onlar da etkileniyor ve yakın zamanda güncellemeleri yayınlayacaklar.
Çerez hırsızlığını işe yaramaz hale getirin
Google ayrıca çerezlerin çalınmasından kaynaklanan sorunun da farkına varmıştır: bunlar kullanıcının tarayıcısı ve ayarları hakkında bilgi içerir ve örneğin kullanıcının oturum açmasını sağlayabilir. Bu nedenle, bunları genellikle üçüncü taraf hesaplara erişmek ve çok faktörlü kimlik doğrulamayı atlamak için kullanabilen saldırganlar için popüler bir hedeftir. Kötü amaçlı yazılım ve bilgi hırsızları genellikle çerezleri hedef alır.
Bir blog yazısında Google geliştiricileri artık Cihaza Bağlı Oturum Kimlik Bilgileri (DBSC) adını verdikleri bir mekanizma üzerinde çalıştıklarını açıklıyor. Amaç açık bir web standardı oluşturmaktır; geliştirme halka açık bir Github projesinde gerçekleşir. Kimliği doğrulanmış oturumların, erişimin gerçekleştiği cihaza bağlanması amaçlanır. Bu, çalınan çerezleri işe yaramaz hale getirir. Saldırganlar, saldırıya uğrayan cihazlarda yerel olarak hareket ederek antivirüs yazılımının ve yönetilen cihazların algılayıp temizlemesini kolaylaştırmalıdır.
Sunulan mekanizma bir şekilde erişim anahtarlarını andırıyor: Tarayıcı yeni bir oturum başlatır başlatmaz, cihazda yerel olarak yeni bir genel ve özel anahtar çifti oluşturur ve özel anahtarı güvenli bir şekilde saklamak için işletim sistemini kullanır. Chrome, depolama için Güvenilir Platform Modüllerini (TPM) kullanmak istiyor. API, sunucuların bir oturumu genel anahtarla ilişkilendirmesine, mevcut çerezleri tamamlamasına veya genişletmesine ve oturum süresince özel anahtarın mülkiyetine dair kanıt gerektirmesine olanak tanır.
Geliştiricilerin mevcut cihazlardaki donanım desteğine dayanarak yaptığı tahmine göre, başlangıçta tüm masaüstü Chrome kullanıcılarının yarısı DBSC'yi kullanabilecek. Uygun donanıma sahip olmayan kullanıcıları desteklemek için Google, yazılım korumalı anahtarları da desteklemeyi düşünebilir. Programcılar şu anda bazı Chrome beta kullanıcılarıyla bir DBSC prototipi üzerinde denemeler yapıyor. Okta gibi kimlik sağlayıcıları ve Edge özellikli Microsoft gibi tarayıcı sağlayıcıları DBSC'ye ilgi gösterdi.
Paskalya hafta sonundan önceki Çarşamba günü, Google geliştiricileri Chrome tarayıcısında yedi güvenlik açığını kapattı. Bunlardan biri kritik tehdit seviyesi olarak kabul edildi.
(Bilmiyorum)
Haberin Sonu