Google Chrome Heap Buffer Overflow Vulnerability (CVE-2021-21148)

Cyberdown

Üye
21 Haz 2020
154
5
--------------- ---------------
(Alıntıdır)

Google Chrome Yığın Arabellek Taşması Güvenlik Açığı (CVE-2021-21148) Yazar Pallavi Pangavhane tarafından gönderildi 8 Şubat 2021 tarihinde gönderildi Genel Bakış 4 Şubat 2021'de Google, Chrome tarayıcısında kritik bir yığın arabellek taşması güvenlik açığını (CVE-2021-21148) düzeltmek için bir güncelleme yayınladı.

Windows, Mac ve Linux OS için Chrome 88.0.4324.150 sürümünde düzeltildi. Güvenlik açığı, Google'ın V8 adlı açık kaynaklı JavaScript ve WebAssembly motorunda bulundu.

Bu güvenlik açığından başarıyla yararlanılması, bir hedef sistemde rastgele kod yürütülmesine neden olabilir.
Açıklama Yığın arabellek taşması güvenlik açığı, 24 Ocak 2021'de Güvenlik araştırmacısı Mattias Buelens tarafından, V8 motorundaki sınır hatası nedeniyle ortaya çıktı.
Uzaktaki bir saldırgan, kurbanı, hatayı tetikleyecek ve hedef sistemde rastgele kod çalıştıracak şekilde özel hazırlanmış web sayfasını açmaya ikna edebilir.
Google Chrome danışma belgesine göre, "Google, CVE-2021-21148 için bir istismarın doğada var olduğuna dair raporların farkındadır".

Bu saldırılar hakkında hiçbir teyit alınmadı. 28 Ocak 2021'de Microsoft, ZINC saldırısı için bir rapor yayınladı ve saldırganların saldırıları için büyük olasılıkla bir Chrome sıfır günü kullandığını söyledi. Daha sonra, Güney Koreli bir Güvenlik şirketi bir rapor yayınladı ve ZINC saldırısı için Internet Explorer sıfır gün güvenlik açığının kullanıldığını keşfetti.


Google, bu saldırılarda CVE-2021-21148 sıfır gününün kullanılıp kullanılmadığını doğrulamadı, ancak birçok güvenlik araştırmacısı iki olayın yakınlığı nedeniyle böyle olduğuna inanıyor. Etkilenen ürünler 88.0.4324.150'den önceki Google Chrome sürümleri. Tespit etme Qualys müşterileri, savunmasız varlıkları tespit etmek için ağlarını QID 375091 ile tarayabilir.

--------------- ---------------

 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.