Hindistanlı bir güvenlik araştırmacısı, dünyada yaygın olarak kullanılan Google Chrome ve Microsoft Edge tarayıcılarında kritik bir güvenlik açığı buldu. Açığın istismar edilmesiyle saldırganlar, tarayıcıda uzaktan kod yürütme imkanını elde ediyor.
Rajvardhan Agarwal adlı güvenlik araştırmacısı, Twitter’da yayımladığı PoC ile Chromium tabanlı tarayıcıların V8 JavaScript motorunda uzaktan kod yürütme güvenlik zafiyetinin nasıl işlediğini ortaya koydu.
Güvenlik açığı geçtiğimiz hafta düzenlenen Pwn2Own hacking yarışmasında araştırmacılar Bruno Keith and Niklas Baumstark’ın istismar ederek uzaktan kod çalıştırdığı güvenlik açığı olduğu düşünülüyor. İkili bu zafiyeti keşfettikleri için 100 bin dolar ödül kazanmıştı.
Zero Day Initiative’in düzenlediği Pwn2Own yarışmasında toplam 1.2 milyon dolarlık ödül hackerlar ile buluştu.
SANDBOX’TAN KAÇAMIYOR
Agarwal, güvenlik zafiyetinin V8 JavaScript motorunun güncel sürümünde giderilmiş olduğunu belirtirken Google’ın Google Chrome için ne zaman güncelleme yapacağı henüz belli değil.
FBI, APT tehdidine karşı uyardı: Fortinet VPN zafiyetleri istismar ediliyor
Agarwal’ın yayımladığı sıfırıncı gün, tarayıcıların sandbox’ından kaçamıyor. Örneğin Chrome’un sandbox’ı uzaktan kod yürütme güvenlik zafiyetlerinin ana bilgisayarda program başlatmasını engelliyor. Diğer bir deyişle, zafiyeti istismar edilebilmek için Chromium sandboxından çıkış yapmasına izin verecek başka bir güvenlik açığıyla birlikte kullanmak gerekiyor.