Güvenlik araştırmacısı Jose Pino, Chrome, Edge, Opera, Vivaldi, Arc ve Brave dahil olmak üzere Chromium tabanlı tüm tarayıcılarda kritik bir güvenlik açığı keşfetti. “Brash” olarak adlandırılan bu açık, Chromium’un 143.0.7483.0 sürümüne kadar olan tüm versiyonlarını etkiliyor. Bu durum, gezegendeki milyarlarca PC ve mobil cihazın risk altında olduğu anlamına geliyor.
İster Windows, ister Linux, macOS, Android veya iOS kullanıyor olun, eğer Chromium tabanlı bir tarayıcı kullanıyorsanız bu güvenlik açığına karşı savunmasızsınız.
“Brash” güvenlik açığı nedir ve nasıl çalışır?
Brash güvenlik açığı, Google’ın Chromium projesinin temelini oluşturan Blink adlı görüntü işleme motorunda bulunuyor. Pino’ya göre bu açık, “belirli DOM işlemlerinin yönetilme şeklindeki mimari bir kusurdan yararlanarak herhangi bir Chromium tarayıcısının 15 ila 60 saniye içinde çökmesine” neden olabiliyor.
Pino, durumu şöyle açıklıyor:
“Saldırı vektörü, document.title API güncellemelerinde herhangi bir hız sınırlamasının olmamasından kaynaklanıyor. Bu, saniyede milyonlarca DOM mutasyonunun enjekte edilmesine olanak tanıyor ve bu enjeksiyon girişimi sırasında ana iş parçacığını doyurarak olay döngüsünü bozuyor ve arayüzün çökmesine neden oluyor. Etkisi önemli; yüksek CPU kaynakları tüketiyor, genel sistem performansını düşürüyor ve aynı anda çalışan diğer işlemleri durdurabiliyor veya yavaşlatabiliyor. Bu güvenlik açığı, masaüstü, Android ve gömülü ortamlardaki Chromium tarayıcılarını etkileyerek internetteki 3 milyardan fazla insanı sistem düzeyinde bir hizmet reddi saldırısına maruz bırakıyor.”
Bu saldırı, basitçe bir web sitesini ziyaret ederek tetiklenebiliyor. Tarayıcının donması ve yanıt vermemesi, en iyi senaryoda sadece tarayıcıyı kapatmanızı gerektirirken, en kötü senaryoda tüm bilgisayarınızı kilitleyebilir.
Kendiniz test edebilirsiniz (dikkatli olun)
Bu güvenlik açığını kendiniz test etmek isterseniz, herhangi bir Chromium tabanlı tarayıcıda brash.run adresine gidebilirsiniz. Ancak bunu yaparken tarayıcınızın ve potansiyel olarak bilgisayarınızın donabileceğini unutmayın. Firefox ve Safari gibi Chromium tabanlı olmayan tarayıcılar bu açıktan etkilenmiyor ve söz konusu web sayfasını ziyaret ettiklerinde herhangi bir sorun yaşamıyor.
Google henüz bir yama yayınlamadı
Jose Pino, Brash ile ilgili detaylı belgeleri GitHub sayfasında yayınladı. Ancak Google, bu güvenlik açığı için henüz bir yama yayınlamadı ve şirketin vakayı hala araştırdığı belirtiliyor.
Bu durum, milyarlarca kullanıcının, kötü niyetli bir web sitesini ziyaret etmeleri halinde sistemlerinin çökme riskiyle karşı karşıya olduğu anlamına geliyor. Google’dan bir güncelleme gelene kadar kullanıcıların dikkatli olmaları ve şüpheli sitelerden uzak durmaları tavsiye ediliyor.
