Chrome sürüm 104 yanlışlıkla ziyaret ettikleri web sitelerinden pano yazma etkinliklerini onaylama gereksinimini kaldıran bir hata tanıttı.
Bu işlev Google Chrome ile sınırlı değildir. Safari ve Firefox ayrıca web sayfalarının sistem panosuna yazmasına izin verir, ancak harekete dayalı korumalar var.
Chrome geliştiricileri sorunu tanımladı, ancak henüz bir düzeltme gelmedi, bu nedenle mobil ve masaüstü için Google Chrome tarayıcısının mevcut sürümlerinde devam ediyor.
Sistem panosu işletim sistemlerinde geçici bir depolama yeridir. Genellikle kopyalama için kullanılır ve bankacılık hesap numaraları, kripto para birimi cüzdan dizeleri veya şifreler gibi hassas bilgileri içerebilir.
Bu geçici depolama alanının rastgele içerikle üzerine yazmak, kullanıcıları kötü niyetli faaliyetlerin kurbanı olabilecekleri için riske atar.
Tehdit aktörleri, kullanıcıları meşru bir kripto para birimi hizmetini taklit eden özel hazırlanmış web sitelerine çekebilir. Kullanıcı bir ödeme yapmaya çalıştığında ve cüzdan adresini panoya kopyaladığında, web sitesi panoya tehdit oyuncusu adresini yazabilir.
Bazı web sitelerinde, kullanıcı bir web sayfasından kopyalamak için metin seçtiğinde, panoya ek içerik eklenir (genellikle sayfa URL'si). Bu durumda, pano görünür bir gösterge veya kullanıcı etkileşimi olmadan keyfi içerikle doldurulur.
Geliştirici Jeff Johnson, konuyu araştıran bir blog yayınında vurgular, pano yazımını destekleyen tüm web tarayıcılarının zayıf ve yetersiz önlemleri vardır.
Pano API'sını kullanmak için bir web sayfası izni veren kullanıcı hareketleri, içeriği kopyalamak için klavye kısayolunu (CTRL+C) içerir, ancak çoğu durumda yalnızca web sitesi ile herhangi bir etkileşim yeterlidir.
Johnson, Safari ve Firefox'ta test etti ve aşağı ok tuşuna basmanın veya bir sitede gezinmek için fare kaydırma çarkını kullanmanın yüklü web sayfasına pano yazma izni verdiğini buldu.
Bu eylemlerin ne kadar yaygın olduğu göz önüne alındığında, bu izin bir düzeltmeyi hak etmek için yeterince risklidir.
"Bir web sayfasında gezinirken, sayfa bilginiz olmadan, sizin için değerli olabilecek sistem panonunuzun geçerli içeriğini silebilir ve bunları sizin için tehlikeli olabilecek sayfanın istediği herhangi bir şeyle değiştirebilir. Bir dahaki sefere yapıştırdığınızda. Web tarayıcı satıcıları neden buna izin verdi? " - Jeff Johnson
Neyse ki, Johnson'ın testleri, web sitelerinin kullanıcı gizliliğine zararlı olacak pano içeriğini okuma iznini kötüye kullanamayacağını doğruladı.
Bu sorunun web tarayıcınızı etkileyip etkilemediğini belirlemek için "Webplatform.news" adresini ziyaret edebilir ve ardından pano içeriğinizi Windows Notepad gibi bir metin uygulamasına "yapıştırabilirsiniz".
Aşağıdaki mesajı görürseniz, tarayıcınız izin istismarına karşı savunmasızdır.
Bununla birlikte, tüm krom bazlı tarayıcılar bu konudan etkilenmez. BleepingComputer'ın testlerinde BRAVE, Test Sitesine Pano'nun üzerine yazma izni vermedi.
Bununla birlikte, Johnson'ın ziyaretçinin panoyu web sitesi navigasyon eylemleriyle dolduran gömülü test kutusu tüm tarayıcılar üzerinde çalıştı, bu nedenle tutarsızlığın nedeni belirsiz.
Johnson, kullanıcıların bu sorundan aşırı endişe duyduklarını 'stopthemdess' uzatmasını kullanabileceğini, ancak her koşulda rastgele pano üzerine% 100 korunmayacakları konusunda uyarıyor.
Adguard’ın yeni reklam engelleyicisi Google’ın Manifest V3 kurallarıyla mücadele ediyor
Apple, saldırılarda kullanılan sıfır gün hatasını düzeltmek için Safari 15.6.1'i serbest bırakır
Google, bu yıl Beşinci Chrome Sıfır Gün Böceğini Düzeltiyor
Kötü niyetli tarayıcı uzantıları yaklaşık 7 milyon kişiyi hedef aldı
Microsoft Edge, daha az popüler sitelerde daha iyi güvenlik varsayılanları alır
Kaynak: Bleeping Computer