Chrome'daki güvenlik açığı kimlik hırsızlarına davetiye çıkartıyor
17.05.2017 - 14:47 | Son Güncellenme:
DefenseCode LLC adlı bir şirkette bilgi güvenliği mühendisi olan Bosko Stankovic'in Google Chrome'da bulduğu açıkla hacker'lar kullanıcı bilgilerini çalabiliyor.
Bosko Stankovic tarafından Chrome'da bulunan bir açık ile hackerlar kullanıcı bilgilerinizi çalabiliyor. Stankovic'e göre ise bu işlem oldukça basit.
Zararlı web siteleri, kullanıcılara herhangi bir şey sormadan bir .SCF dosyasını sisteme indiriyor. Daha sonra .SCF dosyasının indirildiği klasör açıldığında, dosya otomatik olarak çalışıyor. Saldırganlar böylece kullanıcı bilgilerine ve Microsoft LAN parola şifre anahtarına erişerek, sisteme ya da sistemin bağlı olduğu ağa girebiliyor.
Stankovic konuyla ilgili şunları dedi: "Şu anda, kurbanın kimlik doğrulama bilgilerini kullanabilmesi için kurbanın kendi web sitesini ziyaret etmesi gerekiyor" dedi.
Hackerlar parolayı tam olarak elde edemediklerinden OneDrive, Outlook.com, Office 365, Office Online, Skype, Xbox Live gibi parola gerektirmeyen hizmetlere erişebiliyor.
DefenseCode'dan bağımsız araştırmacılar, güvenlik açığının yalnızca Chrome tarayıcısının .SCF dosyalarını işleme biçimine değil, Windows'un da bunları işleme biçimine bağlı olduğunu belirtiyor.
Stankovic rakip tarayıcıların Microsoft Internet Explorer, Edge, Mozilla Firefox ve Apple Safari'nin her birinin .SCF dosyalarının otomatik olarak indirilmesine izin vermediğini söyledi.
Belirtilenler göre açığı hiçbir antivirüs tanımıyor. Google ise konuyla ilgili herhangi bir açıklaa yapmadı veya yama yayınlamadı.
