Bülten

Zoom 0-day Zafiyeti 500.000 Dolara Satılıyor #52

Koronavirüs ile beraber popülerliği artan video konferans uygulaması Zoom’un peşini hacker’lar bırakmıyor. Biri Zoom’un MacOS uygulamasını, biri de Zoom’un Windows uygulamasını etkileyen iki adet 0-day zafiyeti markette satışa çıkarıldı. Satışa çıkarılan 0-day’lerden sadece Zoom’un Windows uygulamasını etkileyen 0-day 500.000 dolara satılıyor. Yapılan açıklamada 500.000 dolara satılan 0-day’in uzaktan komut çalıştırmayı sağladığı ve saldırgan kişiye uygulama […]

Safari’deki Zafiyetler Webcam’in Ele Geçirilmesine Neden Oluyor #50

Güvenlik araştırmacısı Ryan Pickren, Apple’ın Safari tarayıcısı üzerinde 7 tane güvenlik zafiyeti keşfetti. Zafiyetleri Apple’a bildiren Pickren, Apple tarafından 75.000$ ile ödüllendirildi. Pickren tarafından keşfedilen zafiyetlere ait CVE kodları ve zafiyetin detayları aşağıdaki gibidir: CVE-2020-3852: Bir web sitesi için multimedya izinleri belirlenirken URL şemasının gözden kaçması CVE-2020-3864: Bir DOM nesnesi içeriğinin benzersiz bir güvenlik kaynağına […]

Zoom Uygulaması Saldırganların Hedefinde! #49

Koronavirüs önlemleri nedeniyle birçok insan uzaktan çalışmaya başladı ve online iletişim platformlarının kullanımında artış yaşandı. Saldırganlar ise hedef sistemdeki kullanıcıları kandırmak ve sistemleri ele geçirmek için bu durumu bir fırsat olarak görüyorlar. Son zamanlarda en çok kullanılan popüler iletişim platformu Zoom’u kullanan kullanıcılar, saldırganlar tarafından hedef haline gelmeye başladı. İçerisinde “Zoom” geçen alan adlarını alan […]

Cisco SD-WAN’da Yüksek Seviye Zafiyetler Tespit Edildi #48

Cisco SD-WAN yazılımında yüksek önem derecesine sahip 3 güvenlik zafiyeti tespit edildi. Tespit edilen zafiyetler, SD-WAN yazılımının 19.2.2 öncesi sürümlerini kullanan tüm Cisco donanım ve yazılım ürünlerini etkiliyor. Saldırgan kişinin zafiyetleri kullanabilmesi için cihazla aynı ağda bulunması ve cihazda oturum açması gerekiyor. 7.8 CVSS puanına sahip Command Injection zafiyetinin, açıklanan zafiyetlerden en önemlisi olduğu belirtildi. […]

Popüler Adobe Ürünleri İçin Kritik Güncelleştirmeler Yayınlandı #47

Adobe, kendisine ait 6 tane popüler yazılımda tespit edilen 41 güvenlik açığı ile ilgili güncelleştirmeler yayınladı. Açıklanan 41 güvenlik açığının 29 tanesi kritik, 12 tanesi yüksek seviye olarak belirtildi. Güvenlik zafiyeti tespit edilen yazılımlar aşağıdaki gibidir… Adobe Genuine Integrity Service Adobe Acrobat Reader Adobe Photoshop Adobe Experience Manager Adobe ColdFusion Adobe Bridge Yapılan güncelleştirmeler ile […]

Microsoft’ta Kritik RCE zafiyeti #46

Microsoft, SMB 3.1.1 (SMBv3) protokolünü etkileyen kritik bir RCE zafiyeti hakkında bildiri yayınladı. CVE-2020-0796 kodlu bu zafiyet, saldırganların SMB sunucuları ve SMB istemcileri üzerinde rastgele komutlar çalıştırabilmelerine olanak sağlıyor. Zafiyetten etkilenen işletim sistemi sürümleri aşağıda yer almaktadır. Windows 10 1903 Windows 10 1909 Windows Server 1903 Windows Server 1909 Windows Server 2012 Windows 8 Bu […]

Ghostcat Tüm Apache Tomcat Sürümlerini Etkiliyor #45

Chaitin Tech güvenlik araştırmacıları, Apache Tomcat’in son 13 yılda yayınlanmış tüm sürümlerini etkileyen kritik bir güvenlik zafiyeti tespit ettiler. Ghostcat olarak adlandırılan ve CVE-2020-1938 koduyla tanımlanan bu zafiyet, saldırganların kimlik doğrulamadan webapps dizininde bulunan dosyaları okuyabilmelerine ve sunucu dosya yükleme izni veriyorsa uzaktan kod çalıştırabilmelerine olanak veriyor. Zafiyet, Tomcat’in Apache sunucusu ile iletişim kurmasını sağlayan […]

0-Day Zafiyetler İçin Chrome Güncellemesi #44

Google, Chrome için kritik bir güvenlik güncelleştirmesi yayınladı. Bu güncelleştirme ile birlikte “Yüksek” önem derecesine sahip olan 3 güvenlik zafiyeti giderildi. Güvenlik zafiyetleri ile ilgili açıklamalar aşağıda yer almaktadır: ICU tabanlı Integer Overflow zafiyeti: Bu güvenlik zafiyeti, ICU bileşeninden kaynaklanan bir Integer Overflow güvenlik zafiyetidir. Zafiyetten yararlanan saldırganlar, kurbanların sahte bir web sitesine erişmelerini sağlayarak […]

WordPress Eklentilerinde Kritik Güvenlik Açığı #43

WordPress’te iki tane kritik güvenlik açığı tespit edildi. Bunlardan bir tanesi, ThemeGrill Demo Importer adlı WordPress tema eklentisidir. Yaklaşık 200.000 tane WordPress sitesinin kullandığı ThemeGrill Demo Importer eklentisi, site yöneticileri tarafından demo içeriğini, widgetları ve ayarları siteye eklemek için kullanılır. ThemeGrill eklentisindeki güvenlik açığı, bir kullanıcının kimlik doğrulama ve yetki kontrolü yapılmadan yönetici yetkileriyle kod […]

Cisco Cihazları Etkileyen 5 Kritik Zafiyet Keşfedildi #42

Armis güvenlik ekibi, Cisco CDP (Cisco Discovery Protocol) protokolünden kaynaklanan 5 kritik güvenlik zafiyeti keşfetti. CDP; bir Cisco cihazının, aynı ağda bulunan diğer Cisco cihazlarına ait bilgileri keşfetmesi için geliştirilmiş olan bir 2. katman protokolüdür. Bu protokol router, switch, IP telefonları, kameralar dahil olmak üzere neredeyse tüm Cisco cihazlarına uygulanır. CDPwn olarak adlandırılan bu zafiyetlerin […]

WhatsApp Masaüstü Uygulamasında Kritik Zafiyetler Keşfedildi #41

PerimeterX firmasında güvenlik araştırmacısı olarak çalışan Gal Weizman tarafından Electron tabanlı Whatsapp Desktop uygulamasında kritik güvenlik zafiyetleri keşfedildi. Saldırganlar keşfedilen zafiyetleri birlikte kullanarak, hazırladıkları özel mesajlar ile Whatsapp Desktop uygulamasının çalıştığı Windows ve MacOS işletim sistemli bilgisayarlar üzerinden dosya çalabiliyorlar. Weizmann yayınladığı blog yazısında, Whatsapp üzerinde bulduğu Open Redirect zafiyeti ile ilgili detayları açıkladı. Açıklanan […]

Avast Kullanıcı Verilerini Gizlice Satıyor #40

Dünyaca ünlü Antivirüs yazılımı Avast’ın kullanıcı verilerini gizlice sattığı ortaya çıktı. Motherboard ve PCMag tarafından oluşturulan araştırma raporunda, kullanıcılara ait hassas verilerin Google, Microsoft, Pepsi ve McKinsey gibi şirketlere gizlice satıldığı belirtiliyor. Antivirüs devi Avast’ın yan kuruluşu olan Jumpshot’tan elde edilen bilgiler, insanların internet geçmişinin gizlice satıldığını gösteriyor. Motherboard ve PCMag tarafından elde edilen veriler […]