CVE-2020-6572 · Bilgilendirme

Google Chrome Media Use-After-Free Vulnerability

CVE-2020-6572, Google Chrome Media'da uzaktan kod çalıştırmaya olanak tanıyan bir zafiyet.

Üretici
Google
Ürün
Chrome Media
Seviye
yüksek
Yayın Tarihi
05 Nisan 2026
Okuma
8 dk okuma

CVE-2020-6572: Google Chrome Media Use-After-Free Vulnerability

Zorluk Seviyesi: Orta | Kaynak: CISA KEV

Zafiyet Analizi ve Giriş

CVE-2020-6572, Google Chrome Media bileşeninde yer alan bir kullanımdan sonra serbest (use-after-free) zafiyetidir. Bu tür zafiyetler, yazılımın hafıza yönetiminde meydana gelen bir hatadan kaynaklanır ve bir nesnenin bellekte yanlışlıkla serbest bırakılmasının ardından, ona erişilmesi durumunda ortaya çıkar. Bu tür durumlar, kötü niyetli bir saldırganın uzaktan kod yürütmesine (Remote Code Execution - RCE) imkan tanıyarak, sistem üzerinde tam kontrol sağlamasına olanak tanır.

Zafiyet, 2020 yılının Ocak ayında Google Chrome tarayıcısının 79.0.3945.88 sürümünde keşfedildi. Kullanım alanları genellikle web tabanlı medya oynatıcıları ve tarayıcı üzerinden yürütülen multimedya içeriklerdir. Google, söz konusu zafiyetin bulunduğu kütüphane olarak Chrome Media bileşenini işaret etmiştir. Bu bileşende hata, medya içeriğinin yönetimi sırasında, belirli bir nesnenin yanlışlıkla serbest bırakılması sonucu ortaya çıkar.

Dünya genelinde, hitap ettiği sektörler oldukça fazladır. Özellikle medya ve eğlence sektörlerinde, web tabanlı içerik sunumu yaygın bir uygulama haline gelmiştir. Bu nedenle, medya akışında kullanılan platformlar ve web tabanlı uygulamalar, CVE-2020-6572 gibi zafiyetler karşısında büyük bir risk taşımaktadır. Eğitim, finans ve sağlık gibi diğer sektörlerde de, kullanıcıların tarayıcı tabanlı uygulamalar üzerinden verilere erişmesi zafiyeti etkileyen önemli faktörlerdendir.

Gerçek dünya senaryoları üzerinden baktığımızda, bir saldırgan, hedef kullanıcıların ziyaret ettiği kötü amaçlı bir web sayfası oluşturabilir. Hedef kullanıcı sayfayı ziyaret ettiğinde, tarayıcı içindeki Chrome Media bileşenindeki zafiyet devreye girer. Aşağıdaki kod bloğu, muhtemel bir saldırı senaryosunu temsil etmektedir:

// Kötü niyetli bir sayfa ile oluşturulacak Media nesnesi
const mediaElement = document.createElement('audio');
mediaElement.src = "malicious_media.mp3"; // Kötü niyetli medya kaynağı
mediaElement.play();

Kullanıcı bu sayfayı açtığında, zafiyet sebebiyle bereli kod çalıştırılarak sistemdeki zararlı yazılımlar aktif hale getirilebilir. Sonuç olarak, saldırgan, kullanıcının sisteminde istediklerini yapabilir. Bu tür durumlarda zafiyetlerin gizli kalması ve fark edilmemesi, siber güvenlik alanında büyük bir tehdit unsuru haline gelir.

CWE-416 sınıfındaki bu zafiyetler, yazılımların güvenliğini sağlamak için kritik öneme sahiptir. Zafiyetin tespit edilmesi ve kapatılması, sistemlerin ve kullanıcıların güvenliğini artırmak adına gerekiyor. Google, bu tür zafiyetler için sürekli güncellemeler yayınlayarak, kullanıcıları potansiyel tehditlerden korumayı amaçlamaktadır. Sonuç olarak, web tarayıcıları gibi yaygın kullanılan yazılımlardaki zafiyetlerin takibi ve analizi, hem güvenlik uzmanları hem de son kullanıcılar için büyük bir önem taşımaktadır. Bu gibi durumlarda sıkı bir güvenlik denetimi ve güncel yazılım kullanımı önerilmektedir.

Teknik Sömürü (Exploitation) ve PoC

Google Chrome, dünya genelinde milyonlarca kullanıcı tarafından tercih edilen popüler bir web tarayıcısıdır. Ancak, kullanıcıların güvenliğini tehdit eden zafiyetler, sık sık güncellemeler ve yamalarla kapatılmak zorundadır. CVE-2020-6572, Chrome Media bileşeninde bulunan kullanımdan sonra serbest (use-after-free) zafiyetidir. Bu zafiyet, kötü niyetli bir uzaktan saldırganın, özel olarak hazırlanmış bir HTML sayfası aracılığıyla, hedef sistemde kod çalıştırmasını sağlamaktadır. CWE-416 olarak adlandırılan bu zafiyet, ciddi güvenlik sorunlarına yol açabilir.

Kullanımdan sonra serbest (use-after-free) zafiyetleri, bellek yönetimi hatalarından kaynaklanmaktadır. Bir bellek bloğu serbest bırakıldığında, bu bellek bloğuna yapılan referansların aún kullanılmaya devam edilmesi durumunda, bellek üzerinde beklenmedik davranışlara yol açabilir. Bu durum, uzaktan kod yürütme (RCE - Remote Code Execution) riskini beraberinde getirir. Saldırgan, sistemdeki normal işlemleri izleyerek veya bozan bellek içindeki alanları manipüle ederek tehlikeli bir duruma neden olabilir.

Sömürü sürecine adım adım bakalım:

  1. Hedef Belirleme: İlk adım, hedef kişi veya organizasyonu belirlemek olacaktır. Örneğin, bir şirketin çalışanları veya belirli bir grup kullanıcı gibi.

  2. Phishing Sayfası Oluşturma: Potansiyel hedeflerin ziyaret etmesi için hazırlanmış bir sayfa tasarlamak. Örneğin:

   <!DOCTYPE html>
   <html>
   <head>
       <title>Güvenli Güncelleme</title>
   </head>
   <body>
       <h1>Güncelleme Yükleniyor...</h1>
       <script>
           // JavaScript kodu ile kullanılmayan bellek bloğuna erişim sağlanabilir
           var mediaElement = document.createElement('video');
           mediaElement.src = 'malicious-video.mp4';
           document.body.appendChild(mediaElement);
           mediaElement.play();
       </script>
   </body>
   </html>

Bu sayfa, kullanıcılar tarafından ziyaret edildiğinde Chrome’da bellekle ilgili hatalara yol açabilir.

  1. Zafiyetin Aktif Edilmesi: Kullanıcının sahte sayfayı ziyaret etmesini sağlamak için sosyal mühendislik teknikleri kullanılabilir. Örneğin, e-posta üzerinden sahte bir güncelleme bildirimi göndermek.

  2. Hedef Makinede Kod Yürütme: Kullanıcı sahte sayfa açıldığında, tarayıcıda oluşturulan bellek hatası ile birlikte saldırgan özel kodunun çalışmasını sağlar. Burada, zararlı bir payload (yük) eklenebilir.

  3. İzleme ve Kontrol: Saldırgan, hedef makinede komut dosyaları aracılığıyla geri dönüş (reverse shell) oluşturabilir ya da daha fazla zararlı etkinlik gerçekleştirmek için özel kontroller yapabilir.

Aşağıda, zararlı payload ile kullanıcının sistemine erişim sağlamaya çalışan basit bir Python exploit örneği bulunmaktadır:

import requests

def exploit(target_url):
    # Kötü niyetli payload
    payload = {
        'video': 'malicious-video.mp4',
        'action': 'play'
    }

    # HTTP isteği gönderme
    response = requests.post(target_url, data=payload)
    if response.status_code == 200:
        print("Sömürü başarılı, hedefte kod çalıştırıldı!")
    else:
        print("Bir hata oluştu, hedefe ulaşılamadı.")

# Hedef URL
target = "http://hedefsite.com/malicious"
exploit(target)

Bu tür zafiyetler, kullanıcıların güncel tarayıcı sürümlerini kullanmasını sağlamak ve güvenlik açıklarına karşı farkındalık yaratmak açısından büyük öneme sahiptir. Aynı zamanda, kullanıcıların yalnızca güvenilir kaynaklardan gelen bağlantılara tıklamaları gerektiği unutulmamalıdır. Gerçek dünya senaryolarında bu tür saldırılar, siber istihbarat ve siber güvenlik alanlarında uzmanlaşmış kişilerin dikkat etmesi gereken önemli konulardır. Unutulmamalıdır ki, etik hackerlar olarak bu tür bilgilere sahip olmak, güvenliği artıracak önlemler almak için faydalıdır.

Forensics (Adli Bilişim) ve Log Analizi

Google Chrome Media'daki CVE-2020-6572 zafiyeti, potansiyel olarak uzaktan bir saldırgan tarafından kötü niyetli HTML sayfaları aracılığıyla istismar edilebilen bir use-after-free (kullanımdan sonra serbest bırakma) açığıdır. Bu tür zafiyetler, yazılımların bellek yönetiminde ortaya çıkan hatalar nedeniyle ortaya çıkar ve saldırganların uzaktan kod çalıştırmasına (RCE - Uzaktan Kod Çalıştırma) olanak tanır. Bu durum, kullanıcıların farkında olmadan zararlı içeriklere maruz kalmasına ve bunun sonucunda sistemlerin tehlikeye girmesine yol açabilir.

Bir adli bilişim uzmanı, CVE-2020-6572 zafiyetinin bir saldırı ile kullanıldığını belirlemek için, özellikle log dosyalarını dikkatlice incelemelidir. SIEM (Güvenlik Bilgi ve Olay Yönetimi) sistemlerinde, belirtilen zafiyetin istismar edildiğini gösteren olası imzaların (signature) tespit edilmesi kritik öneme sahiptir. Her şeyden önce, bu tür bir saldırının sonucunda, suçlunun erişim sağladığı URL'lerin ve kullanıcı aktivitelerinin detaylı raporunun çıkartılması gerekmektedir.

Özellikle, aşağıdaki log türlerine ve spesifik göstergelere (signature) dikkat edilmesi önemlidir:

  1. Access Log (Erişim Günlüğü): Erişim günlüğünde, şüpheli veya bilinen kötü niyetli URL'ler üzerinden yapılan taleplerin izlenmesi önemlidir. Örneğin, aşağıdaki gibi bir kayıt, potansiyel bir saldırı girişimini gösterebilir:
   192.168.1.1 - - [28/Mar/2020:15:34:22 +0000] "GET /malicious_page.html HTTP/1.1" 200 - "http://malicious-redirector.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36"

Bu tür talepler, normal kullanıcı davranışının dışında kalan ve daha önce bilinen kötü URL'lere erişim sağlayan IP adreslerini göstermektedir.

  1. Error Log (Hata Günlüğü): Hata günlüğü, potansiyel hataları veya anormal durumu tespit etmek için değerlidir. Özellikle, bellek yönetimi ile ilgili hatalar aşağıdaki gibi görünebilir:
   [error] [client 192.168.1.1] use-after-free error detected in Chrome Media, attempting to free memory at address 0xdeadbeef

Bu tür hatalar, zafiyetin izlerini taşıyabilir.

  1. Event Logs (Olay Günlükleri): Olay günlükleri, tarayıcı ya da sistem üzerinde gerçekleştirilen işlemlerin kaydedildiği alanlardır. Olay günlüğünde şüpheli davranışlar için arama yaparken, aşağıdaki gibi girişi tespit etmek yararlı olabilir:
   Event ID: 307, User: SYSTEM, Action: Loaded malicious page triggering use-after-free

Adli bilişimin etkin bir şekilde uygulanabilmesi için, yukarıda belirtilen log dosyalarında düzenli olarak anormallik aramaları gerçekleştirilmelidir. Ayrıca, SIEM sisteminin, olası saldırı vektörlerine yönelik özel kural setleriyle güncellenmesi, CVE-2020-6572 gibi zafiyetlerin daha önceden tespit edilmesine olanak sağlayabilir.

Saldırının yapıldığını tespit ettikten sonra ise, olayın boyutunu anlamak ve gerekli önlemleri oluşturmak adına olay müdahale planları devreye sokulmalıdır. Bu süreçte etkilenen sistemlerin izolasyonu ve tehditin kaynağının belirlenmesi büyük önem taşır. Unutulmamalıdır ki, hızlı bir analiz ve müdahale, meydana gelebilecek daha büyük zararlara engel olmanın en etkili yoludur.

Savunma ve Sıkılaştırma (Hardening)

Google Chrome Media'daki CVE-2020-6572 zafiyeti, kullanıcının tarayıcısında böcek avlaması kullanarak kötü niyetli bir HTML sayfası ile uzaktan kod çalıştırmasına (RCE - Uzak Kod Çalıştırma) olanak tanır. Bu tür bir zafiyet, kötü niyetli bir saldırganın kullanıcıların sistemlerine erişim sağlamasına yol açabilir ve önemli verilerin tehlikeye girmesi ile sonuçlanabilir. Bu nedenle, savunma ve sıkılaştırma yöntemlerinin uygulanması kritik öneme sahiptir.

Kullanıcıların, bu tür zafiyetlerden etkilenmemesi için Chrome tarayıcılarının güncel tutulması gerekmektedir. Ancak, güncellemelerin yanı sıra, ek güvenlik önlemleri almak da önemlidir. Bir kurum içerisinde bu tür zafiyetlere karşı dayanıklılığı artırmanın birkaç yolu bulunmaktadır. Öncelikle, tarayıcıda çalışacak olan JavaScript kodlarını kontrol eden içerik güvenliği politikaları (Content Security Policy - CSP) oluşturulmalıdır. Bu politika, yalnızca güvenilir kaynaklardan gelen içeriklerin yüklenmesine izin vermek suretiyle JavaScript'in kötüye kullanılmasını engelleyebilir.

Alternatif olarak, web uygulama güvenlik duvarları (Web Application Firewall - WAF) kurmak, bu tür zafiyetlerin suistimal edilmesini önlemenin etkili yollarından biridir. WAF kuralları, özellikle tarayıcı üzerinden kullanıcıların etkileşimde bulunduğu noktaları koruma noktasında kritik rol oynamaktadır. Örneğin, aşağıdaki gibi özel bir kural seti oluşturulabilir:

SecRule REQUEST_HEADERS:User-Agent "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36" \
 "id:1000001,phase:2,deny,status:403,msg:'Potential Use-After-Free attack detected'"

Bu kural, Google Chrome’un belirli bir versiyonunu hedefleyen potansiyel bir saldırıyı tespit ederek, durumu engeller. Ancak, sadece tarayıcı güvenliği ile kalmamak gerekir. Kullanıcıların bilgisayarlarına kurulan güvenlik yazılımları da bu tür saldırıları nötralize etmede önemli bir rol oynamaktadır. Anti-virüs ve anti-malware yazılımları güncel tutulmalı ve tarayıcılardan asla kurumsal ağlara veya önemli verilere erişim izninin verilmediğinden emin olunmalıdır.

Ayrıca, kullanıcı farkındalığını artırmak için eğitimler düzenlemek de gereklidir. Kullanıcılara, güvenilir olmayan kaynaklardan gelen HTML sayfalarını açmamaları gerektiği, şüpheli bağlantılara tıklamamaları gerektiği konusunda bilgi vermek, bu tür zafiyetlerin suistimal edilme olasılığını azaltacaktır.

Kalıcı sıkılaştırma önerileri arasında, belirli izinlerle çalışacak olan kullanıcı hesaplarının oluşturulması yer almaktadır. Kullanıcıların sistemde administrator yetkilerine sahip olmaması, olası bir kullanıma-sonra-kapatma (use-after-free) zafiyetinin etkilerini büyük oranda sınırlandırabilir. Ayrıca, düzenli olarak sistem güncellemeleri ve yazılım yamalarının uygulanması da kritik öneme sahiptir. Bu, potansiyel zafiyetlerin zamanında giderilmesini sağlayarak riskleri azaltır.

Son olarak, tarayıcılardaki "sandboxing" teknikleri, her bir sekmeyi veya uygulamayı izole ederek potansiyel zararın yayılmasını önleyebilir. İyi bir tarayıcı yapılandırması, mümkün olduğunca güvenli bir ortam sağlamak için kullanılmalıdır. Unutulmamalıdır ki savunma katmanları arttıkça, potansiyel saldırı yüzeyleri azalır ve bu da kurumun genel güvenlik duruşunu güçlendirir.