bencede
New member
Sayısız uygulama, görüntüleri Google WebP biçiminde görüntüler. Dolayısıyla grafik formatındaki bir güvenlik açığı, bu formatı kullanan tüm uygulamaları etkiler. Google başlangıçta güvenlik açığını yalnızca Chrome tarayıcısına bağladı.
Duyuru
Yeni boşluk = eski boşluk?
Ancak Google artık kendisini düzeltti ve eski güvenlik açığını (CVE-2023-4863″) yayınladı.yüksek“) yeni girişi CVE-2023-5129’u kritik bir derecelendirmeyle sundu (CVSS puanı 10 üzerinden 10).
Ancak bu, yalnızca altı saat sonra Google tarafından geçersiz ilan edildi. Gösterilen neden, yeni girdinin eski girdiyi çoğaltmasıdır. Eski giriş artık entegre edildi, böylece boşluk yalnızca Chrome’u değil aynı zamanda birçok uygulama tarafından kullanılan libwebp kitaplığının tamamını da etkileyecek.
Saldırının nasıl olacağı henüz belli değil. Web tarayıcıları bağlamında sıklıkla hazırlanmış HTML web sitelerinden bahsederiz. Kötü amaçlı kodlarla değiştirilmiş WebP grafiklerine sahip bir web sitesini ziyaret etmenin bir saldırı başlatabileceği görülüyor. Bir saldırı başarılı olursa, kötü amaçlı kod sistemlere nüfuz eder.
Etkilenen uygulamalar
Bunlar arasında Edge ve Firefox gibi tarayıcılar, Debian ve Ubuntu gibi Linux dağıtımları ve LibreOffice, Slack ve Signal Desktop gibi uygulamalar yer alır. Ayrıca, Electron çerçevesini temel alan birçok uygulama da etkilenmektedir. Bir güvenlik araştırmacısı şu anda Github’da savunmasız Electron uygulamalarının bir listesini derliyor. THE Elektronik sürüm 1.3.2 bundan korunmaları gerekir.
Güvenlik açığı bulunan uygulamaların listesi uzundur ve güvenlik güncellemelerinin tümü yayınlanmamıştır. Kullanıcılar yamalara dikkat etmeli ve bunları hızlı bir şekilde yüklemelidir. Diğerlerinin yanı sıra Firefox, Thunderbird ve Tails için de güvenli sürümler yayınlandı.
AÇIK (CVE-2023-41064″yüksek“) tartışmalı güvenlik şirketi NSO Group tarafından Apple sistemlerinde. Şu anda bu konuyla ilgili daha fazla ayrıntı yok.
(İtibaren)
Haberin Sonu
Duyuru
Yeni boşluk = eski boşluk?
Ancak Google artık kendisini düzeltti ve eski güvenlik açığını (CVE-2023-4863″) yayınladı.yüksek“) yeni girişi CVE-2023-5129’u kritik bir derecelendirmeyle sundu (CVSS puanı 10 üzerinden 10).
Ancak bu, yalnızca altı saat sonra Google tarafından geçersiz ilan edildi. Gösterilen neden, yeni girdinin eski girdiyi çoğaltmasıdır. Eski giriş artık entegre edildi, böylece boşluk yalnızca Chrome’u değil aynı zamanda birçok uygulama tarafından kullanılan libwebp kitaplığının tamamını da etkileyecek.
Saldırının nasıl olacağı henüz belli değil. Web tarayıcıları bağlamında sıklıkla hazırlanmış HTML web sitelerinden bahsederiz. Kötü amaçlı kodlarla değiştirilmiş WebP grafiklerine sahip bir web sitesini ziyaret etmenin bir saldırı başlatabileceği görülüyor. Bir saldırı başarılı olursa, kötü amaçlı kod sistemlere nüfuz eder.
Etkilenen uygulamalar
Bunlar arasında Edge ve Firefox gibi tarayıcılar, Debian ve Ubuntu gibi Linux dağıtımları ve LibreOffice, Slack ve Signal Desktop gibi uygulamalar yer alır. Ayrıca, Electron çerçevesini temel alan birçok uygulama da etkilenmektedir. Bir güvenlik araştırmacısı şu anda Github’da savunmasız Electron uygulamalarının bir listesini derliyor. THE Elektronik sürüm 1.3.2 bundan korunmaları gerekir.
Güvenlik açığı bulunan uygulamaların listesi uzundur ve güvenlik güncellemelerinin tümü yayınlanmamıştır. Kullanıcılar yamalara dikkat etmeli ve bunları hızlı bir şekilde yüklemelidir. Diğerlerinin yanı sıra Firefox, Thunderbird ve Tails için de güvenli sürümler yayınlandı.
AÇIK (CVE-2023-41064″yüksek“) tartışmalı güvenlik şirketi NSO Group tarafından Apple sistemlerinde. Şu anda bu konuyla ilgili daha fazla ayrıntı yok.
(İtibaren)
Haberin Sonu