Google Chrome'da birden çok güvenlik açığı

Açıklama

Google Chrome'da birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir, hizmet reddine, güvenlik sınırlamalarını atlatmaya, kullanıcı arabirimini dolandırmaya, rasgele kod yürütmeye, ayrıcalıkları yükseltmeye, hassas bilgileri edinmeye ve siteler arası komut dosyası saldırısı gerçekleştirmeye yardımcı olabilir.

Aşağıda güvenlik açıklarının tam listesi:

1. IndexedDB bileşeninde ücretsiz bir kullanım, hizmet reddine neden olmak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
2. PPAPI Eklentileri bileşenindeki güvenilir olmayan girdinin yetersiz doğrulanması, güvenlik kısıtlamalarını atlamak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
3. Blink bileşeninde kalıcı iletişim işleminde uygunsuz uygulama, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
4. Uzantılarda karışıklık yazın JavaScript, güvenlik kısıtlamalarını atlamak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
5. PDFium bileşenindeki yığın taşması, keyfi kod çalıştırmak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
6. Gezinme sırasında yetersiz ilke uygulaması, kimliği doğrulanmış bir saldırgan tarafından evrensel bir siteler arası komut dosyası saldırısı gerçekleştirmesi için uzaktan kullanılabilir.
7. Skia bileşeninde güvenilmeyen girdinin yetersiz doğrulanması, kimliği doğrulanmamış bir saldırgan tarafından hizmet reddine neden olmak için uzaktan kullanılabilir;
8. V8 bileşeninde serbest kaldıktan sonra, kimliği doğrulanmamış bir saldırgan tarafından hizmet reddine neden olmak için uzaktan yararlanılabilir;
9. PPAPI Eklentileri bileşenindeki güvenilmeyen girdinin yetersiz doğrulanması, yetkilendirilmiş bir saldırganın ayrıcalığı yükseltmek için uzaktan kullanılabilir;
10. Uygulamalar bileşeninde serbest kaldıktan sonra kullanmak, hizmet reddine neden olmak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir.
11. Omnibox bileşenindeki uygun olmayan uygulama, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
12. Skia bileşeninde başlatılmamış bir değerin kullanılması, doğru olmayan bilgiler elde etmek için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
13. Geçiş reklamlarında uygunsuz uygulama, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
14. Omnibox bileşenindeki Yetersiz Politika Zorunluluğu, kimliği doğrulanmamış bir saldırgan tarafından kullanıcı arabirimini taklit etmek için uzaktan kullanılabilir.
15. SVG oluşturma işleminde bir zamanlama saldırısı, kimliği doğrulanmamış bir saldırgan tarafından evrensel bir siteler arası komut dosyası saldırısı gerçekleştirmek için uzaktan kullanılabilir.
16. PDFium bileşenindeki tür karmaşası, güvenlik kısıtlamalarını atlamak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir.
17. İzin istemcilerinden boşaltma işleyicisinin uygun olmayan şekilde uygulanması, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
18. Web ödemeleri API'sinin blob'da uygunsuz şekilde uygulanması: ve veriler: Web Payments bileşenindeki şemalar, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.

---

Teknik detaylar

Not: Bu güvenlik açığının kamuya açık CVSS değeri yoktur, bu nedenle derecelendirme zamana göre değiştirilebilir.

Orijinal öneriler

• Stable Channel Update for Desktop

CVE Listesi

Daha fazlasını okuyun

Bölgenizde yayılan güvenlik açıklarının istatistiklerini öğrenin statistics.securelist.com