WhatsApp’deki RCE Zafiyeti Android Cihazları Etkiliyor #24

CVE-2019-11932 kodlu güvenlik açığı, Whatsapp uygulaması kullanılarak Android cihazlar üzerinde uzaktan komut çalıştırılmasına sebep oluyor. Güvenlik açığı, Whatsapp uygulamasının kendisinde bulunmayıp, uygulamanın kullanmış olduğu açık kaynaklı bir GIF Image Parsing kütüphanesinde oluşan bir hatadan kaynaklanmaktadır.

Saldırganın kurban cihaza göndermiş olduğu zararlı GIF dosyası kurban tarafından açıldığında saldırgan Android cihazı ele geçirmektedir. Çünkü kurban GIF dosyasını görüntülerken arka planda güvenlik açığına sebep olan kütüphaneyi kullanmaktadır. Bu güvenlik açığı, saldırganın Android cihazı üzerinde ses kaydı yapmak, kameraya erişmek, dosya sistemlerine erişmek ve Whatsapp korumalı sohbet veritabanına erişmek gibi yetkilere sahip olmasına sebep olmaktadır.

Bu güvenlik açığı, 2.19.230 ve önceki Whatsapp sürümlerinin bulunduğu Android cihazlarını etkilemektedir. Bu güvenlik açığından etkilenmemek için Whatsapp uygulamasının son sürümünün yüklenmesi ve etkilenen GIF kütüphanesinin patch geçilmiş sürümü olan 1.2.18 sürümünün yüklenmesi önerilmektedir.

Android Sistemleri Etkileyen Kritik Bir 0-Day Tespit Edildi

Android işletim sistemlerini etkileyen ve henüz yamalanmamış kritik bir 0-day keşfedildi. Project Zero ekibinden Maddie Stone tarafından keşfedilen bu güvenlik açığı, raporlandıktan 7 gün sonra Android ekibi tarafından yayınlandı. Bu zafiyetten yararlanan saldırganlar, düşük hak ve yetkilerle hem yerel hem de uzaktan erişim sağladıkları Android cihazlar üzerinde hak ve yetki yükseltebiliyor. CVE-2019-2215 koduyla tanımlanan zafiyet Android Binder sürücüsünden kaynaklanmaktadır.

Android işletim sistemi bulunan Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, Oreo LG phones, Samsung S7, Samsung S8 ve Samsung S9 telefon modelleri en son yayınlanan Android güncelleştirmelerine sahip olmalarına rağmen bu zafiyetten etkileniyor. En güncel Android çekirdeğini çalıştıran Pixel 3.3 XL ve 3a modellerinin ise bu zafiyetten etkilenmediği belirtildi.

Google bu güvenlik açığı için ilerleyen günlerde bir yama yayınlayacak. Şimdilik Android cihazlarınızın zafiyetten etkilenmemesi için bilinmeyen ortamlardan gereksiz uygulamalar indirip kurmamanız önerilmektedir.

Signal Mesajlaşma Uygulamasında Zafiyet

Şifreli mesajlaşma uygulaması Signal’de kritik bir güvenlik açığı keşfedildi. Bu güvenlik açığı saldırganların hedefin haberi olmadan aramaya dahil olmalarına neden oluyor. Başka bir deyişle zafiyet hedeflenen bir Signal kullanıcısının cihazının mikrofonunun açılmasına ve çevresindeki tüm konuşmaların dinlenmesine olanak sağlıyor.

Signal güvenlik ekibi zafiyet kendilerine bildirildikten birkaç saat sonra güvenlik güncelleştirmelerini yayınladı. Zafiyetten etkilenmemek için en kısa sürede güvenlik güncelleştirmesinin yapılması önerilmektedir.

Microsoft Ekim 2019 Güvenlik Güncellemeleri Yayınlandı

Microsoft, Windows işletim sistemlerinde ve ilgili yazılımlarda 9’u kritik, 49’u önemli ve 1’i orta düzeyde olan toplam 59 güvenlik açığını gidermek için güvenlik güncelleştirmelerini yayınladı.

Kritik güvenlik açıklarından ikisi VBScript motorundaki CVE-2019-1238 ve CVE-2019-1239 kodlu RCE zafiyetleridir. Zafiyetler Internet Explorer kullananların saldırgan tarafından özel hazırlanmış bir web sitesini ziyaret etmeleri sonucunda exploit edilebiliyor.

Microsoft tarafından giderilen diğer güvenlik açıkları aşağıdaki Microsoft ürün ve hizmetlerinde bulunmaktadır:

  • Microsoft Windows
  • Internet Explorer
  • Microsoft Edge
  • ChakraCore
  • Microsoft Office, Office Hizmetleri ve Web Uygulamaları
  • SQL Server Management Studio
  • Açık Kaynak Yazılım
  • Microsoft Dynamics 365
  • Windows Güncelleme Yardımcısı

Windows kullanıcılarının bu güvenlik zafiyetlerinden etkilenmemeleri için gerekli güncelleştirmeleri yapmaları önerilmektedir.