Gündem

Magellan 2.0 – Google Chrome’da SQLite Tabanlı Birden Çok Zaafiyet Bulundu!

Reklam

 

 

“Magellan 2.0” isimli dünyanın en popüler tarayıcılarından olan Google Chrome’da hackerlar’a Chromium render işlemini exploit etmelerine ve uzaktan kod çalıştırmalarına izin veren kritik SQLite zaafiyeti keşfedildi.

SQLite, rağbet gören, gömülü veritabanı yazılımları arasında sıklıkla kullanılan veritabanıdır ve SQLite web tarayıcıları ve işletim sistemleri gibi yerel/istemci depolamalarında tercih edilen yazılım uygulamasıdır.

Zaafiyet 79.0.3945.79’dan önce WebSQL açık olan Chrome kullanıcılarını etkiledi ve araştırmacılar Bilgisayar/Telefon gibi diğer cihazların saldırıdan etkilenmiş olabileceğini onayladı.

Zaafiyet ilk başta Tencent Blade Team isimli ekip tarafından keşfedildi. Chrome’da test ettiler ve Chromium render işleminde zaafiyeti exploit ettiler.

 

Magellan 2.0  Zaafiyetinin Detayları

 

 

Zaafiyet özellikle SQLite gibi yazılımları kullanan cihazları etkiledi ve harici SQL sorgularını da destekliyor. Saldırganlar program hafızasını çalan veya programa hata verdirmeye yarayan zaafiyeti uzak kodu çalıştırarak istismar ettiler.

Zaafiyetler şu şekilde: CVE: CVE-2019-13734, CVE-2019-13750, CVE-2019-13751, CVE-2019-13752, CVE-2019-13753.

Tencent’ın raporuna göre, “Magellan” bir takım zaafiyetlerden birisi ve eğer tarayıcınız WebSQL aktif edildiyse ve yukarıdaki adımlardan etkinlendiyseniz, bu zaafiyet size zarar vermiş olabilir. Aşağıdaki uygulama veya cihazları kullandıysanız zaafiyet sizi de etkilemiş olabilir.

  • 79.0.3945.79’dan önceki Chrome/Chromium sürümü (Bu sürüm, aşağıda “eski sürüm” olarak tasvir edilecektir.)
  • Chrome/Chromium’un eski sürümlerini kullanan akıllı cihazlar
  • Chromium/Web Görünümü’nün eski sürümleriyle kurulmuş tarayıcılar
  • Webview(Web Görünümü)’nün eski sürümünü kullanan Android uygulamalar
  • Chromium’un eski sürümünü kullanan yazılımlar

Zaafiyetin exploit edildiği ne de kodun halka açık exploit edildiğine dair kanıt bulunamadı.

Araştırmacılar, açığın 90 günlük ifşa politikasıyla korunduğunu öne sürerek zaafiyetle alakalı detayları paylaşmadılar.

 

Tencent’ın tıvitleri kısa zamanda tercüme edilecektir..

Daha Fazla Göster

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir