Google Çarşamba günü, Chromium tarayıcı kod tabanında Chrome, Microsoft Edge ve hemen hemen tüm diğer Chromium tabanlı tarayıcıları kullanan milyonlarca insanı tehdit eden düzeltilmemiş bir güvenlik açığına yönelik yararlanma kodunu yayınladı.
Kavram kanıtlama kodu, uzun videoların ve diğer büyük dosyaların arka planda indirilmesine izin veren bir standart olan Tarayıcı Getirme programlama arayüzünden yararlanır. Saldırgan bu açıktan yararlanmayı, kullanıcının tarayıcı kullanımının bazı yönlerini izlemek amacıyla bir bağlantı oluşturmak ve siteleri görüntülemek ve hizmet reddi saldırıları başlatmak için bir proxy olarak kullanabilir. Tarayıcıya bağlı olarak bağlantılar ya yeniden açılır ya da kendisi ya da onu çalıştıran cihaz yeniden başlatıldıktan sonra bile açık kalır.
29 aydır sabit değil (ve devam ediyor)
Düzeltilmemiş güvenlik açığından, kullanıcının ziyaret ettiği herhangi bir web sitesi yararlanabilir. Aslında bir uzlaşma, bir cihazı sınırlı bir botnet'in parçası haline getiren sınırlı bir arka kapı anlamına gelir. Yetenekler, kötü amaçlı siteleri ziyaret etmek, başkaları tarafından anonim proxy taraması sağlamak, proxy DDoS saldırılarını etkinleştirmek ve kullanıcı etkinliğini izlemek gibi bir tarayıcının yapabileceği şeylerle sınırlıdır. Bununla birlikte bu istismar, bir saldırganın binlerce, muhtemelen milyonlarca cihazı bir ağa bağlamasına olanak tanıyabilir. Ayrı bir güvenlik açığı ortaya çıktığında, saldırgan bunu kullanarak tüm cihazların güvenliğini tehlikeye atabilir.
