Google Salı günü Windows'ta Chrome'da çerez korumalarının iyileştirildiğini duyurdu ve harici araştırmacılar tarafından bildirilen üç güvenlik açığını gidermek için bir Chrome 127 güvenlik güncellemesi yayınladı.
Google'ın açıklamasına göre, çözülen güvenlik açıklarından en ciddisi CVE-2024-6990, WebGPU standardının açık kaynak uygulaması olan Dawn'da kritik önemde bir başlatılmamış kullanım sorunu.
Geriye kalan iki hata ise yüksek önem derecesine sahip: WebTransport'ta sınır dışı okuma (CVE-2024-7255) ve Dawn'da yetersiz veri doğrulama (CVE-2024-7256).
Google, bildirimde bulunan araştırmacılara ödenecek hata ödül miktarlarını henüz belirlemediğini söylüyor. En son Chrome yinelemesi şu anda Windows ve macOS için 127.0.6533.88/89 sürümleri ve Linux için 127.0.6533.88 sürümü olarak kullanıma sunuluyor.
Google, bu güvenlik açıklarının herhangi birinin kötüye kullanıldığından bahsetmiyor ancak kullanıcıların tarayıcılarını mümkün olan en kısa sürede güncellemeleri tavsiye ediliyor.
Geçtiğimiz hafta üçüncü taraf çerezlerini Chrome'da tutacağını duyuran internet devi, bilgi hırsızlarının ve diğer kötü niyetli uygulamaların tarayıcı çerezlerine erişmesini önlemek için Windows'ta Chrome 127'de yeni bir koruma getirdi.
Tarayıcı kimlik doğrulama oturumlarını cihaza bağlayarak çerez hırsızlığını önlemek için Nisan ayında Cihaza Bağlı Oturum Kimlik Bilgilerinin (DBSC) kullanılmaya başlanmasının ardından Google şimdi de Windows'ta çerez koruması için kullanılan Veri Koruma API'sini (DPAPI) geliştirmek için Uygulamaya Bağlı (App-Bound) Şifreleme ilkellerini ekliyor.
İnternet devi, "Oturum açmış kullanıcı olarak çalışan herhangi bir uygulamanın bu verilere erişmesine izin vermek yerine, Chrome artık uygulama kimliğine bağlı verileri şifreleyebiliyor," diye açıklıyor.
Chrome 127 çerezleri bu yeni sisteme taşırken, gelecekteki tarayıcı sürümleri kullanıcıların sırlarını bilgi hırsızlarından daha iyi korumak için korumayı parolalara, kimlik doğrulama belirteçlerine ve ödeme verilerine genişletecek.
"App-Bound Encryption (Uygulamaya Bağlı Şifreleme), talep eden uygulamanın kimliğini doğrulamak için ayrıcalıklı bir hizmete dayanır. Şifreleme sırasında, App-Bound Encryption hizmeti uygulamanın kimliğini şifrelenmiş verilere kodlar ve ardından şifre çözme denendiğinde bunun geçerli olduğunu doğrular. Eğer sistemdeki başka bir uygulama aynı verinin şifresini çözmeye çalışırsa, başarısız olacaktır."
App-Bound hizmeti sistem ayrıcalıklarıyla çalışır, bu da sadece kötü amaçlı bir uygulama yüklemenin sırları çalmak için yeterli olmayacağı anlamına gelir. Bunun yerine, kötü amaçlı yazılımın sistem ayrıcalıklarına veya Chrome'a kod enjekte etmeye ihtiyacı vardır, bu da onu antivirüs tespitine duyarlı hale getirir.
Çerez şifre çözme için olay günlükleri sağlama ile birlikte çalışan koruma, özellikle kullanıcıların dosyaları yönetici ayrıcalıklarıyla çalıştırmasına izin verilmeyen kurumsal ortamlarda etkilidir, yani kötü amaçlı yazılımlar yükseltilmiş ayrıcalıklar talep edemez.
Ancak Google, App-Bound Encryption'ın şifreleme anahtarını makineye bağladığı için Chrome profillerinin birden fazla sistem arasında dolaşması durumunda çalışmayacağını açıklıyor.
"Uygulamaya Bağlı Şifreleme, saldırganlar için veri hırsızlığının maliyetini artırır ve ayrıca eylemlerini sistem üzerinde çok daha gürültülü hale getirir. Savunucuların, sistemdeki diğer uygulamalar için kabul edilebilir davranışın ne olduğuna dair kumda net bir çizgi çizmelerine yardımcı olur," diyor Google.