BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

KLA11129
Google Chrome'da birden çok güvenlik açığı
Yüklendi : 07/05/2018
Bulunma tarihi
?
07/25/2017
Şiddet
?
Yüksek
Açıklama

Google Chrome'da birden fazla ciddi güvenlik açığı bulundu. Kötü amaçlı kullanıcılar bu güvenlik açıklarından yararlanabilir, hizmet reddine, güvenlik sınırlamalarını atlatmaya, kullanıcı arabirimini dolandırmaya, rasgele kod yürütmeye, ayrıcalıkları yükseltmeye, hassas bilgileri edinmeye ve siteler arası komut dosyası saldırısı gerçekleştirmeye yardımcı olabilir.

Aşağıda güvenlik açıklarının tam listesi:

  1. IndexedDB bileşeninde ücretsiz bir kullanım, hizmet reddine neden olmak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
  2. PPAPI Eklentileri bileşenindeki güvenilir olmayan girdinin yetersiz doğrulanması, güvenlik kısıtlamalarını atlamak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
  3. Blink bileşeninde kalıcı iletişim işleminde uygunsuz uygulama, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
  4. Uzantılarda karışıklık yazın JavaScript, güvenlik kısıtlamalarını atlamak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
  5. PDFium bileşenindeki yığın taşması, keyfi kod çalıştırmak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
  6. Gezinme sırasında yetersiz ilke uygulaması, kimliği doğrulanmış bir saldırgan tarafından evrensel bir siteler arası komut dosyası saldırısı gerçekleştirmesi için uzaktan kullanılabilir.
  7. Skia bileşeninde güvenilmeyen girdinin yetersiz doğrulanması, kimliği doğrulanmamış bir saldırgan tarafından hizmet reddine neden olmak için uzaktan kullanılabilir;
  8. V8 bileşeninde serbest kaldıktan sonra, kimliği doğrulanmamış bir saldırgan tarafından hizmet reddine neden olmak için uzaktan yararlanılabilir;
  9. PPAPI Eklentileri bileşenindeki güvenilmeyen girdinin yetersiz doğrulanması, yetkilendirilmiş bir saldırganın ayrıcalığı yükseltmek için uzaktan kullanılabilir;
  10. Uygulamalar bileşeninde serbest kaldıktan sonra kullanmak, hizmet reddine neden olmak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir.
  11. Omnibox bileşenindeki uygun olmayan uygulama, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
  12. Skia bileşeninde başlatılmamış bir değerin kullanılması, doğru olmayan bilgiler elde etmek için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir;
  13. Geçiş reklamlarında uygunsuz uygulama, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
  14. Omnibox bileşenindeki Yetersiz Politika Zorunluluğu, kimliği doğrulanmamış bir saldırgan tarafından kullanıcı arabirimini taklit etmek için uzaktan kullanılabilir.
  15. SVG oluşturma işleminde bir zamanlama saldırısı, kimliği doğrulanmamış bir saldırgan tarafından evrensel bir siteler arası komut dosyası saldırısı gerçekleştirmek için uzaktan kullanılabilir.
  16. PDFium bileşenindeki tür karmaşası, güvenlik kısıtlamalarını atlamak için kimliği doğrulanmamış bir saldırgan tarafından uzaktan kullanılabilir.
  17. İzin istemcilerinden boşaltma işleyicisinin uygun olmayan şekilde uygulanması, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.
  18. Web ödemeleri API'sinin blob'da uygunsuz şekilde uygulanması: ve veriler: Web Payments bileşenindeki şemalar, kimliği doğrulanmamış bir saldırganın kullanıcı arabirimini taklit etmesi için uzaktan kullanılabilir.

Teknik detaylar

Not: Bu güvenlik açığının kamuya açık CVSS değeri yoktur, bu nedenle derecelendirme zamana göre değiştirilebilir.

Etkilenmiş ürünler

Google Chrome sürümleri 60.0.3112.78'den önceki

Çözüm

En son sürüme güncelle
Google Chrome İndir

Orijinal öneriler

Stable Channel Update for Desktop

Etkiler
?
SUI 
[?]

ACE 
[?]

OSI 
[?]

XSSCSS 
[?]

SB 
[?]

PE 
[?]

DoS 
[?]
Alakalı ürünler
Google Chrome
CVE-IDS
?

CVE-2017-5110
CVE-2017-5109
CVE-2017-5108
CVE-2017-5107
CVE-2017-5106
CVE-2017-5105
CVE-2017-5104
CVE-2017-5103
CVE-2017-5102
CVE-2017-5101
CVE-2017-5100
CVE-2017-5099
CVE-2017-5098
CVE-2017-5097
CVE-2017-5096
CVE-2017-5095
CVE-2017-5094
CVE-2017-5093
CVE-2017-5092
CVE-2017-5091


Orijinaline link