Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. “CISA, Chrome ve Excel İçerisinde Güvenlik Açıklarını Açıkladı”

“CISA, Chrome ve Excel İçerisinde Güvenlik Açıklarını Açıkladı”

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 4 dk okuma süresi
290 0
Chrome ve Excel İçerisinde Güvenlik pp

“CISA, Chrome ve Excel İçerisinde Güvenlik Açıklarını Açıkladı”

“Amerika’nın Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Chrome ve Excel İçerisinde Google Chrome’da yakın zamanda düzeltilmiş bir hata ve Excel dosyalarındaki bilgileri okumak için kullanılan açık kaynaklı bir Perl kütüphanesini etkileyen iki güvenlik açığını, Bilinen Sömürülen Zayıflıklar kataloğuna ekledi.

CISA, federal kuruluşlara, tedarikçi talimatlarına göre izlenen iki güvenlik sorununu 23 Ocak’a kadar giderme veya savunmasız ürünleri kullanmayı bırakma konusunda süre tanıdı: CVE-2023-7024 ve CVE-2023-7101.

Chrome ve Excel İçerisinde Güvenlik

Spreadsheet::ParseExcel RCE

CISA’nın listeye eklediği ilk sorun, Spreadsheet::ParseExcel kütüphanesinin 0.65 ve daha eski sürümlerini etkileyen CVE-2023-7101 adlı uzaktan kod yürütme açığıdır.

“CISA’nın açıklamasına göre, ‘Spreadsheet::ParseExcel’, bir dosyadan alınan onaylanmamış girişi bir dize tipi ‘eval’ fonksiyonuna aktardığı için uzaktan kod yürütme açığı içeriyor. Özellikle, sorun, Excel dosyası ayrıştırma mantığı içindeki Numara formatı dizelerinin değerlendirilmesinden kaynaklanmaktadır.”

Spreadsheet::ParseExcel, genel amaçlı bir kütüphanedir ve Excel dosyalarında veri içe/dışa aktarma, analiz ve otomasyon komutları gerçekleştirmeyi sağlar. Ayrıca, Perl tabanlı web uygulamalarında Excel dosyalarını işleme yeteneği sağlar.

Bu açık kaynaklı kütüphaneyi kullananlardan biri, Çinli hacker’lar tarafından Aralık ayının sonlarında hedef alınan Barracuda ESG (Email Security Gateway) olmuştur. Saldırganlar, Spreadsheet::ParseExcel’deki CVE-2023-7101’i kullanarak cihazları ele geçirmişlerdir.

Barracuda, güvenlik şirketi Mandiant ile işbirliği yaparak saldırıları inceledi ve saldırıların arkasındaki tehdit aktörünün UNC4841 olduğunu belirledi. Bu aktör, ‘SeaSpy’ ve ‘Saltwater’ adlı kötü amaçlı yazılımları dağıtmak için bu açığı kullanmıştır.

Barracuda, ESG için 20 Aralık’ta azaltmalar uyguladı ve CVE-2023-7101’i ele alan bir güvenlik güncellemesi, Spreadsheet::ParseExcel sürüm 0.66 ile 29 Aralık 2023’te yayımlandı.

Google Chrome buffer overflow

KEV’e eklenen en son etkin bir şekilde sömürülen zayıflık, Google Chrome web tarayıcısındaki WebRTC’de heap buffer overflow sorunu olan CVE-2023-7024’tür.

İlginizi çekebilecek yazımız: XXE Açığı Nedir ? Nasıl Önlenir ?

“CISA’nın açıklamasına göre, ‘Google Chromium WebRTC’, web tarayıcılarına gerçek zamanlı iletişim sağlayan açık kaynaklı bir projedir ve bir saldırganın çökmesine veya kod yürütmesine neden olan bir heap buffer overflow zafiyeti içerir. Bu zafiyet, WebRTC’yi kullanan web tarayıcılarını etkileyebilir, özellikle Google Chrome’u.”

Bu zafiyet, Google’ın Tehdit Analizi Grubu (TAG) tarafından keşfedildi ve 20 Aralık’ta Windows için 120.0.6099.129/130 sürümleri ve Mac ile Linux için 120.0.6099.129 sürümünde acil bir güncelleme ile düzeltildi.

Bu, 2023’te Google’ın Chrome’daki sekizinci sıfır gün zafiyetini düzeltmesi oldu ve geniş çapta kullanılan web tarayıcısındaki zafiyetleri bulma ve sömürme konusunda hacker’ların sarf ettiği sürekli çaba ve zamanı vurguluyor.

CISA’nın KEV kataloğu, dünya genelindeki kuruluşlar için daha iyi bir zayıflık yönetimi ve önceliklendirme aracıdır.”

Haber Kaynağı: Bleeping Computer

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir