Newsletter

Samsung Telefonlarda Parmak İzi Sensörü Hatası #26

Samsung Galaxy S10 ve Note 10 cihazlarda ultrasonik parmak izi okuyucusunun hatalı olduğu bildirildi. Hata, bir İngiliz kadının parmak izini okutmadan telefonun kilidini açabileceğini keşfetmesi ve bunu sosyal medyada yayınlamasıyla ortaya çıktı. Ekran kilidinin açılması için bir silikon parçası kullanıldı. Samsung tarafından gelecek hafta söz konusu hata ile ilgili bir güncelleme yayınlanacağı açıklaması yapıldı. Kullanıcıların […]

WhatsApp’deki RCE Zafiyeti Android Cihazları Etkiliyor #24

CVE-2019-11932 kodlu güvenlik açığı, Whatsapp uygulaması kullanılarak Android cihazlar üzerinde uzaktan komut çalıştırılmasına sebep oluyor. Güvenlik açığı, Whatsapp uygulamasının kendisinde bulunmayıp, uygulamanın kullanmış olduğu açık kaynaklı bir GIF Image Parsing kütüphanesinde oluşan bir hatadan kaynaklanmaktadır. Saldırganın kurban cihaza göndermiş olduğu zararlı GIF dosyası kurban tarafından açıldığında saldırgan Android cihazı ele geçirmektedir. Çünkü kurban GIF dosyasını […]

Apple Cihazları Etkileyen Yeni JailBreak Zafiyeti #23

Jailbreaking, mobil cihazlardaki kısıtlamaları atlatarak yüksek hak ve yetkilere ulaşmak için kullanılan bir yöntemdir. Bu exploit genellikle saldırganların Apple cihazlardaki işletim sistemini özel hazırlanmış bir çekirdekle değiştirmeleri ile gerçekleşir. Son zamanlarda ortaya çıkan jailbreak zafiyetleri mobil cihazlar üzerindeki tehditlerin arttığını gösteriyor. Yeni çıkan “Checkm8” adlı jailbreak, iPhone 4S ile iPhone 8 sürümleri arasındaki iOS cihazlarını […]

Jira Server’da Kritik Güvenlik Açıkları Bulundu #22

JIRA Service Desk uygulaması üzerinde kritik bir güvenlik açığı bulundu. CVE-2019-14994 koduyla tanımlanan bu güvenlik açığı, uygulamaya erişim hakkı olmayan kullanıcıların, yetkisiz erişim sağlamalarına olanak tanımaktadır. Servis Masası, müşterilerinin JIRA örneğindeki sınırlı sorunları görüntülemesini sağlamaktadır. Normal şartlarda Service Desk, tüm JIRA Service Desk projelerinde oluşturulan XML sonuçlarında bulunan biletlerin ayrıntılarını görüntülemek için kullanılmakta ve başka […]

SIM Kartlarda Tehlike: Simjacker #21

Siber güvenlik araştırmacıları telefonlarda kullanılan SIM kart üzerinde daha önce keşfedilmemiş kritik bir güvenlik açığı keşfettiler. Bu güvenlik açığından yararlanan saldırganlar, SIM kartlardaki güvenlik açığını kullanarak cep telefonlarını birer zombi haline getirip çeşitli saldırılar ve casusluklar yapabilmektedirler. SimJacker olarak adlandırılan güvenlik açığı, yerleştirilen yazılımın bir parçası olan SIMalliance Toolbox Browser üzerinde bulunmaktadır. S@T Browser olarak […]

Komut Çalıştırma Zafiyetleri Nedeniyle Yeni PHP Sürümleri Yayınlandı #20

Geçtiğimiz günlerde PHP programlama dili üzerinde keşfedilen kritik güvenlik açıkları nedeniyle yeni PHP sürümleri yayınlandı. Bu güvenlik açıkları saldırganların çekirdek ve kütüphanelerden yararlanarak komut çalıştırabilmelerine neden olmaktadır. Saldırganlar ayrıca keşfedilen zafiyetleri kullanarak sistemde hizmet kesintisine (Denial of Service) de neden olabiliyorlar. Zafiyetler kritik olmasına rağmen şu ana kadar saldırganların bu zafiyetleri kullandığına dair herhangi bir […]

Google Bug Bounty Programını Genişletti #19

Google, verilerin kötüye kullanımı ve Play Store’da zararlı yazılım uygulamalarının keşfedilmesinden dolayı bug bounty programının kapsamını genişletti. Bu kapsama iki yeni program dahil edildi. İlk program Developer Data Protection Reward Program (DDPRP) olarak adlandırılıyor. Bu programa göre; Google, Android uygulamaları ve Chrome uzantılarında verilerin kötüye kullanılmasına ilişkin kanıtlar bulması durumunda araştırmacılar ödül alabilecekler. İkinci program […]

Apple JailBreak Güvenlik Açığını Gidermek İçin iOS 12.4.1 Sürümünü Yayınladı #18

Geçtiğimiz günlerde iOS 12.4 sistemler üzerinde jailbreak yapmaya imkan sağlayan kritik bir güvenlik açığı tespit edilmişti. Asıl olarak iOS 12.3 sürümünü etkileyen bu güvenlik açığının giderilmesi için bir yama yayınlanmıştı. Fakat daha sonra bu güvenlik açığının iOS 12.4 sürümünü de etkilediği tespit edildi. Güvenlik açığının giderilmesi için Apple bu hafta iOS 12.4.1 sürümünü yayınladı. CVE-2019-8605 […]

Google Güvenlik Araştırmacısı Windows Üzerinde 20 Yıllık Zafiyet Keşfetti #17

Google güvenlik araştırmacılarından Tavis Ormandy Windows XP’den Windows 10 sürümüne kadar olan tüm Windows işletim sistemi sürümlerini etkileyen bir privilege escalation (hak ve yetki yükseltme) zafiyeti keşfetti. Güvenlik açığı MSCTF ALPC (Advanced Local Procedure Calls)’e yapılan çağrıların yanlış işlenmesi nedeniyle ortaya çıkmaktadır. MSCTF Windows işletim sistemlerinde girdi yöntemleri, klavye düzenleri gibi özellikleri yöneten bir modüldür. […]

KDE üzerinde Command Injection Zafiyeti Keşfedildi #16

KDE framework üzerinde saldırganların rastgele komut çalıştırmalarına sebep olan bir Command Injection zafiyeti keşfedildi. Bu zafiyeti kullanan saldırganlar, KDE ortamı bulunan makineleri ele geçirerek uzaktan komut çalıştırabiliyor. KDE menüsündeki bir uygulamayı kaydetmek için bir .desktop dosyası ve KDE’nin bir klasörün nasıl görüntülenmesi gerektiğini belirlemesi için .directory dosyaları kullanılır. CVE-2019-14744 koduyla tanımlanan bu güvenlik açığı, saldırganların […]

Video Aracılığıyla Android Cihazlar Hacklenebiliyor #14

Saldırganlar, kullanıcıların izlediği bir video aracılığıyla Android cihazlar üzerinde uzaktan komut çalıştırabildiler. CVE-2019-2107 koduyla tanımlanan Remote Code Execution zafiyeti Android cihazlardaki medya çerçevesinden kaynaklanıyor. Bu güvenlik açığını kullanabilmek için saldırgan tarafından önceden hazırlanan ve bu zafiyeti tetiklemeyi sağlayan bir video’nun kullanıcıların Android cihazlarında bulunan yerel medya oynatıcısı ile oynatılması gerekiyor. Bu zafiyetin Android 7.0 ve Android […]