Google'dan Kritik Uyarı: Milyonlarca Chromium Kullanıcısını Tehdit Eden Açık Yayınlandı

Google, Chromium tabanlı tarayıcılarda milyonlarca kullanıcıyı etkileyen kritik bir güvenlik açığına dair exploit (saldırı) kodunu, henüz bir yama yayınlamadan yanlışlıkla kamuya açıkladı. Chrome, Microsoft Edge ve diğer tüm Chromium tabanlı tarayıcıları etkileyen bu açık, arka planda büyük dosyaların indirilmesine olanak tanıyan "Browser Fetch" programlama arayüzündeki bir hatadan kaynaklanıyor.

Söz konusu açık, saldırganların kullanıcı tarayıcılarının faaliyetlerini izlemesine, cihazı bir proxy sunucusu gibi kullanarak diğer sitelere erişmesine veya cihaz üzerinden hizmet dışı bırakma (DDoS) saldırıları başlatmasına imkan tanıyor. En dikkat çekici detay ise, tarayıcıya veya cihaza bağlı olarak, kurulan bu bağlantıların sistem yeniden başlatılsa dahi açık kalmaya devam etmesi.

Güvenlik araştırmacısı Lyra Rebane tarafından 2022 yılının sonlarında Google'a bildirilen bu açık, tam 29 aydır düzeltilmeden bekletiliyordu. Google geliştiricileri tarafından "S1" (en yüksek ikinci seviye) olarak sınıflandırılan ve "ciddi bir güvenlik açığı" olarak nitelendirilen sorun, Çarşamba günü Chromium hata takip sisteminde yanlışlıkla yayınlandı. Google içeriği kısa süre sonra kaldırsa da, saldırı kodları arşiv siteleri üzerinden erişilebilir durumda.

Rebane, bu açığın tek başına etkilerinin sınırlı olduğunu ancak binlerce hatta milyonlarca cihazın tek bir ağ altında toplanarak bir "botnet" oluşturulmasına yol açabileceği konusunda uyardı. Araştırmacıya göre, bu durum gelecekte keşfedilecek başka bir açıkla birleştiğinde, saldırganların milyonlarca cihaza tam erişim sağlamasının önünü açabilir.

Google temsilcileri, güvenlik açığının neden ve nasıl yayınlandığına veya düzeltme yamasının ne zaman geleceğine dair sorulara henüz resmi bir yanıt vermedi.