Privia Security Facebook’un Bug Bounty Programı, Adobe’nin Acrobat ve Reader’daki Güvenlik Açıkları, İterm2 Uygulamasındaki 7 Yıllık Rce Zafiyeti ve Sudo Programındaki Kritik Güvenlik Açığı’na Dikkat Çekiyor

Adobe’nin Acrobat ve Reader’daki Güvenlik Açıkları,

İterm2 Uygulamasındaki 7 Yıllık Rce Zafiyeti ve Sudo

Programındaki Kritik Güvenlik Açığı’na Dikkat Çekiyor

Privia Security Siber Güvenlik firmasının siber güvenlik araştırmalarında uzman olan ekibi tarafından hazırlanan siber güvenlik gelişmeleri bülteninde Facebook’un Bug Bounty Programı, Adobe’nin Acrobat ve Reader’daki Güvenlik Açıkları, İterm2 Uygulamasındaki 7 Yıllık Rce Zafiyeti, Sudo Programındaki Kritik Güvenlik Açığı’na gibi sadece sektörü değil herkesi ilgilendiren önemli gelişmeler yer alıyor.

Yakın dönemde gerçekleşen önemli gelişmelerin yer aldığı bu bültenler, Privia Security ekibi tarafından derlenerek son kullanıcıları ve sektör uzmanlarını bilgilendirilmek üzere hazırlanmaktadır. Konu hakkında açıklama yapan Privia Security’in Kurucu Ortağı Nisan Betül Erdem, “Privia Security olarak siber güvenlik sektörüne her anlamda farklılık getirmek istiyoruz. Bu doğrultuda sunduğumuz hizmetler, verdiğimiz eğitimler, geliştirdiğimiz siber güvenlik ürünlerinin yanında hazırladığımız siber güvenlik bültenleri ile de hem sektörümüzü hem de vatandaşları bilgilendirmeyi şirketimiz için bir görev olarak belirledik.” dedi.

FACEBOOK BUG BOUNTY PROGRAMI KAPSAMINI GENİŞLETTİ

Facebook ekosisteminde milyonlarca üçüncü parti uygulama yer almakta ve bu uygulamaların çoğunda uygulama üzerinde bulunan zafiyetlerin tespit edilip bildirilebileceği bir bug bounty programı bulunmamaktadır.

Facebook üçüncü parti uygulamaları ve platform dahilindeki web sitelerinin güvenliğini artırmak ve kendi politikalarını ihlal eden kötü niyetli uygulamaların tespitini kolaylaştırmak için “Data Abuse Bounty” programını başlattı.

Facebook, bildirilen güvenlik açığının etkisine ve kritikliğine bağlı olarak minimum 500$ ödül verecek. Eğer zafiyet bulunan üçüncü parti uygulamanın geliştiricisinin kendine ait bir bug bounty programı varsa, zafiyeti bulan araştırmacı hem Facebook’tan hem de uygulama geliştiricisinden ödül talep edebilecek.

ADOBE, ACROBAT VE READER’DAKİ GÜVENLİK AÇIKLARINI KAPATTI

Adobe Acrobat ve Adobe Reader uygulamalarında bulunan 45 tane kritik güvenlik açığı giderildi. Kullanıcılar tarafından yaygın olarak kullanılan Adobe Acrobat ve Adobe Reader’daki zafiyetler, bir saldırganın uzaktan rastgele kod çalıştırarak bilgisayarları ele geçirmelerine olanak vermektedir. Bu güvenlik açıkları, Acrobat DC Continuous 2019.021.20047, Acrobat Reader DC Continuous 2019.021.20047, Acrobat DC Classic 2017 2017.0.011.30150, Acrobat Reader DC Classic 2017 2017.011.30150, Acrobat DC Classic 2015 2015.006.30504 ve Acrobat Reader DC Classic sürümlerinde düzeltilmiştir.

Ayrıca, Adobe Experience Manager uygulamasında bulunan kritik bilgi ifşası, bir saldırganın yetkisiz bir şekilde uzaktan kod çalıştırmasına ve hak ve yetki yükseltmesine neden olmaktadır. Bu güvenlik açıkları ise en son Adobe Experience Manager 6.3, 6.4 ve 6.5 sürümlerinde düzeltildi. Adobe Download Manager uygulamasında ise bir saldırgan Adobe DLL’ini, kötü amaçlı bir DLL ile değiştirerek (DLL Hijacking) hak ve yetki yükseltme işlemi yapabilir. Bu sorun Adobe Download Manager 2.0.0.417’de düzeltilmiştir.

iTERM2 UYGULAMASINDA 7 YILLIK RCE ZAFİYETİ

iTerm2 terminal uygulamasında 7 yıllık bir RCE (Remote Code Execution) zafiyeti tespit edildi. CVE-2019-9539 koduyla tanımlanan bu zafiyet MOSS (Mozilla Open Source Support) tarafından finanse edilen bir güvenlik denetimi sırasında keşfedildi.

Mozilla tarafından yayınlanan blog yazısına göre, bu zafiyet iTerm2 uygulamasının tmux özelliğinden kaynaklanıyor ve saldırganların sistem üzerinde rastgele komut çalıştıra-bilmelerine olanak veriyor.

3.3.5 sürümüne kadar olan tüm iTerm2 sürümlerini etkileyen zafiyet, paylaşılan 3.3.6 sürümü ile giderildi.

SUDO PROGRAMINDA KRİTİK GÜVENLİK AÇIĞI

UNIX ve Linux tabanlı işletim sistemlerinde bulunan sudo programında kritik bir güvenlik açığı keşfedildi. “/etc/sudoers” dosyasında bulunan RunAs özelliğindeki "ALL" anahtar sözcüğü, root veya sudo gruplarındaki tüm kullanıcıların sistem üzerinde yetkili bir şekilde işlem yapabilmelerine olanak veriyor.

CVE-2019-14287 koduyla tanımlanan güvenlik açığı ile kullanıcı, root parolası yerine kendi parolasını girerek root haklarına geçebilir ve yetkilerini yükseltebilir. Sudo yardımcı programındaki bu hata, kullanıcı ID değerini kullanıcı adına dönüştüren fonksiyonda meydana gelen bir hatadan kaynaklanmaktadır.