8Ağustos
Libre Office Vulnerability

Siber Güvenlik Bülteni #15

LibreOffice Uygulamasında 2 Kritik Zafiyet Keşfedildi

Popüler ofis yazılımlarından biri olan LibreOffice uygulamasında 2 kritik güvenlik açığı keşfedildi. CVE-2019-9848 koduyla tanımlanan güvenlik açığı LibreOffice yazılımıyla birlikte gelen, kaplumbağa vektör grafiklerini kullanan LibreLogo bileşeninde bulunmaktadır. CVE-2019-9849 güvenlik açığı ise LibreOffice yazılımının uzaktan içerik ekleme özelliğinden kaynaklanmaktadır.
CVE-2019-9848 güvenlik açığına neden olan sorun, dahili LibreLogo kodlarının Python kodlarına iyi bir şekilde çevrilememesinden kaynaklanmaktadır. Bu zafiyeti kullanan saldırganlar, kurban cihazlar üzerinde kullanıcıların özel hazırlanmış bir belgeyi açmalarını sağlayarak rastgele Python komutları çalıştırabilirler. Bu güvenlik açığı 6.2.5 sürümünden önceki tüm Document Foundation LibreOffice sürümlerinde bulunmaktadır. CVE-2019-9849 güvenlik açığı ise, LibreOffice yazılımının güvenilir uzak kaynaklara erişmek amacıyla kullanılan “stealth mode” adlı gizli modun etkin olduğu durumlarda bile bir belgeye uzaktan içerik eklenmesine izin vermektedir.

FaceApp, Facebook Kullanıcı Bilgilerine Erişiyor

Rus yapımı bir uygulama olan FaceApp uygulaması kullanıcıların fotoğrafları ile oynayarak kullanıcıların kendilerini yaşça büyük veya yaşça küçük göstermelerini sağlayan bir uygulamadır. Fakat bu uygulamanın yaptığı işlemlerin yanında, kullanıcılara ait özel bilgilere de eriştiği tespit edildi.
Facebook hesabı ile giriş yapıldığında Faceapp, kullanıcıların kendi cihazındaki bilgileri ile beraber Facebook hesabı üzerindeki fotoğraflara ve arkadaş listesine de erişiyor. Böylece kullanıcının Facebook’ta bulunan arkadaşlarına ait bilgileri elde ediyor. Bu durum uygulamanın sıradan bir uygulama olmadığını, sosyal mühendislik, siber istihbarat ve big data gibi kavramlar için veri toplamak amacıyla da kullanıldığını gösteriyor. FaceApp CEO’su konu ile ilgili Facebook erişiminin, kullanıcının paylaştığı fotoğrafların arkadaşları tarafından oylanabilmesi için yapıldığını belirtti.

Bir kullanıcı, Facebook ile Faceapp’e giriş yapıp arkadaş listesini paylaşmak istemiyorsa, Facebook üzerindeki gizlilik ayarları üzerinden Faceapp’e bir kısıtlama getirebilmektedir. Böylece arkadaş listesini erişime kapatabilmektedir.

IOS 12 Sürümünde Kritik Güvenlik Açığı Bulundu

Google Project Zero Ekibinde bulunan güvenlik araştırmacısı Natalie Silvanovich, IOS 12 sürümünde kritik bir güvenlik açığı keşfetti. CVE-2019-8646 koduyla tanımlanan güvenlik açığı, iMessage mesajlaşma servisinde bulundu ve IOS 12.4 güncellemesiyle birlikte patch geçildi. Bu güvenlik açığının, bir saldırganın herhangi bir etkileşim olmadan IOS cihazı üzerindeki dosyaları uzaktan yetkisiz bir şekilde okumasını sağladığı belirtildi.
Ayrıca IOS sürüm notlarına göre, bu güvenlik açığında bulunan yetkisiz okuma hatasının Siri ve Core IOS bileşenlerinde mevcut olduğu belirtildi. Bu güvenlik açığından Iphone 5S ve sonrası, IPad Air ve sonrası, IPod touch 6. nesil ve sonrası etkilenmektedir. Bu güvenlik açığından etkilenmemek için kullanıcıların IOS sürümlerini güncelleştirmeleri gerekmektedir.  

Linux Çekirdeğinde Kritik Güvenlik Açığı Bulundu

Linux çekirdeğinde hak ve yetki yükselten kritik bir güvenlik açığı bulundu. CVE-2019-13272 kodlu güvenlik açığı, düşük hak ve yetkilere sahip olan bir kullanıcının yüksek hak ve yetkilere sahip olan “root” kullanıcısının haklarına erişerek işlem yapmasına sebep olmaktadır. Linux kernel 5.1.17 sürümünden önceki sürümlerde bulunan bu kritik güvenlik açığı; ptrace_link  fonksiyonunun, ptrace ilişkisi oluşturarak yerel kullanıcıların root hak ve yetkisini almasını sağlayan bir prosesin kimlik bilgisi kaydını yanlış kullanmasından kaynaklanmaktadır. 

Bu güvenlik açığından etkilenmemek için Linux kernel sürümünün son versiyona güncelleştirilmesi gerekmektedir.