"Google" milyonlarla "Chromium" istifadəçisini təhdid edən bir istismar sızdırdı

“Google” hələ aradan qaldırılmamış “Chromium” brauzer platforması zəifliyi üçün eksployt kodunu təsadüfən açıq şəkildə yayımlayıb. Bu boşluq potensial olaraq “Chrome”, “Microsoft Edge” və bu baza üzərində qurulan digər brauzerlərin milyonlarla istifadəçisini risk altında qoyur. 

Valyuta.az xəbər verir k, bu barədə “Ars Technica” məlumat yayıb.

Zəiflik böyük faylların və videoların fon rejimində yüklənməsi üçün istifadə olunan “Browser Fetch” interfeysi ilə bağlıdır. Eksployt hücum edən şəxsə istifadəçinin brauzerdəki fəaliyyətlərini izləmək üçün daimi bağlantı yaratmağa imkan verir. Bundan əlavə, cihaz proksi-server kimi istifadə edilə və saytların ziyarəti və ya “DDoS” hücumlarının həyata keçirilməsi üçün cəlb oluna bilər.

Bəzi hallarda bağlantının brauzer və ya cihaz yenidən başladıldıqdan sonra belə saxlanılması və ya avtomatik bərpası mümkündür.

Problemi aşkar edən və bu barədə hələ 2022-ci ilin sonunda “Google”a məlumat verən tədqiqatçı Lira Rebayn bildirib ki, zəiflikdən istifadə üçün sadəcə zərərli sayta daxil olmaq kifayətdir. Bu halda cihaz anonim şəkildə saytların açılması, trafikin yönləndirilməsi və hücumların həyata keçirilməsi imkanına malik məhdud botnet şəbəkəsinin bir hissəsinə çevrilə bilər.

Tədqiqatçı qeyd edib ki, yayımlanan koddan istifadə “kifayət qədər asandır”, lakin böyük yoluxmuş cihaz şəbəkəsi yaratmaq üçün əlavə səylər tələb olunur. “Chromium” sistemində bu problem yüksək prioritetli təhlükə kimi qiymətləndirilib.

Zəiflik təxminən dörd il ərzində geniş ictimaiyyətə məlum olmayıb. Lakin yaxın zamanda “Chromium”un açıq səhv izləmə sistemində eksployt kodu ilə birlikdə ortaya çıxıb. Sonradan “Google” paylaşımı silsə də, məlumat arxiv xidmətlərində qorunub saxlanılıb.

Şirkət vəziyyətdən xəbərdar olduğunu və artıq problemin aradan qaldırılması üzərində çalışdığını açıqlayıb.

Paşa Məmmədli