DuckDuckGo Privacy Essentials Eklentisinde uXSS Zafiyeti Tespit Edildi

Kullanıcıların siber tehdit aktörleri tarafından izlenmesini engelleyen ve kullanıcılara gelişmiş tarayıcı özellikleri sunan DuckDuckGo Privacy Essentials universal cross-site scripting (uXSS) eklentisinde güvenlik zafiyeti tespit edilmiştir.

Bu durum istenilen kodun herhangi bir domain’de çalıştırılabileceği anlamına gelmektedir. Bahsi geçen zafiyet agentSpoofer.getAgent() girdisinin herhangi bir ayıklama veya filtreleme olmaksızın eklenmesinden kaynaklı oluşmaktadır. Siber tehdit aktörlerinin bu zafiyetten faydalanabilmesi için http://staticcdn.duckduckgo.com adresinde kontrol sahibi olması, sunucuya erişiminin olması, gerekmektedir. Bu güvenlik açığından etkilenen kullanıcılar, ziyaret ettikleri web sitesi tarafından takip edilmemektedir fakat kullanıcıların verileri DuckDuckGo, Microsoft veya sunucuya erişimi olan herhangi bir aracı tarafından manipüle edilebilmektedir.

Tehdit aktörleri, bahsi geçen zafiyetten etkilenen kullanıcıları izleme, tarayıcıda görünen bilgileri değiştirme, kullanıcının hesaplarını ele geçirme veya kullanıcıyı taklit etme gibi eylemleri gerçekleştirmektedir. Aynı zamanda bankacılık veya e-ticaret işlemlerini değiştirip tekrar yönlendirebilmektedir.

Kullanıcıların bahsi geçen uXSS zafiyetinden etkilenmemeleri için Google Chrome ve Firefox tarayıcılarını son sürüme güncellemeleri önerilmektedir. Microsoft Edge tarayıcısı için herhangi bir güvenlik yaması duyurusu bulunmamaktadır. Bu yüzden Edge kullanan kullanıcılara DuckDuckGo Privacy Essentials eklentisini güvenlik yaması gelene kadar tarayıcılarından kaldırıp kullanmamaları önerilmektedir.

Size nasıl yardımcı olalım?

İhtiyacınız olan her an Prisma danışmanları yanı başınızda. Bizimle 7/24 iletişime geçebilirsiniz.


    Brandefense ile siber saldırılara karşı önlem alın!