1 puan yazan GN⁺ 2025-08-12 | 1 yorum | WhatsApp'ta paylaş
  • Chrome'un VRP ödül komitesi, yakın zamanda bildirilen bir güvenlik açığı raporu için 250.000 dolar ödül belirledi
  • Rapor edilen açık, bir ipcz bileşeni hatası olup, renderlayıcının (renderer) tarayıcı süreç handle'ını kopyalamasıyla sandbox'tan çıkış yapabilmesine imkan tanıyor
  • İlgili konu, Chromium'ın Internals>Mojo>Core alanında gündeme getirildi
  • Bu güvenlik açığı kullanıcıların güvenliğine yönelik tehditleri artırabilir
  • Bu açığın kod değişikliğiyle yama sürecinde ilerlediği belirtiliyor

Temel sorun özeti

  • Son zamanlarda Chromium projesinde çok kritik bir güvenlik açığı bildirildi
  • Bu açık, bir ipcz bileşeni hatası nedeniyle, sandbox içinde kalması gereken renderlayıcının, tarayıcı süreci handle'ını kopyalayıp güvenli izolasyon ortamından çıkmasına izin verebilir
  • Bu davranış temelde tarayıcı sandbox mimarisine yönelik bir tehdittir

Chrome VRP ödül kararı ve anlamı

  • Chrome Vulnerability Reward Program (VRP) komitesi, bu güvenlik açığına ilişkin rapora 250.000 dolarlık ödül vermeye karar verdi
  • Bu karar, açığın ciddiyetini, bulunmasının zorluğunu ve potansiyel etkisini yansıtıyor
  • Önemli güvenlik açıkları için saldırı bildirimlerini teşvik eden bir örnektir

İç süreç yönetimi

  • Konu Internals>Mojo>Core ve Internals>Mojo kategorilerinde ele alındı
  • Birçok ilişkili kod değişikliği gerekiyor; bazı kod taahhütleri (commit) Gerrit üzerinden de yapıldı
  • Tasarım dokümanı incelemesi gibi resmi gözden geçirme adımları da devam ediyor

Yama ve etki

  • İlgili sorun, kod değişiklikleri yoluyla yama sürecinde
  • Bu mesele Chromium'un farklı sürüm kilometre taşlarını etkiliyor ve güvenlik güncellemeleri önceliklendirilmiş durumda
  • Bu hata, kullanıcı sistemlerindeki güvenlik katmanını aşındırma ve geçersiz kılma riski taşıyor

İlgili hususlar ve sistemsel yanıt

  • Bu konuyla ilgili bir IRM (Incident Response Management) kaydı oluşturuldu
  • Sorunun detayları; otomatik üretilen kod değişiklikleri, ilgili güvenlik sorunları, tasarım incelemesi ve sürüm yönetimi gibi çeşitli iç sistemlerce izlendi ve erişimi kısıtlandı
  • Topluluk ve kullanıcılar için hızlı ve etkili bir güvenlik yaması dağıtımı ile duyuru yapılması gerekiyor

1 yorum

 
GN⁺ 2025-08-12
Hacker News yorumu
  • O, en yaygın kullanılan tarayıcıda oldukça güvenilir bir exploit bulduğunu ve bunu karaborsada satıp vergi ödemeden çok daha fazla kazanabileceğini düşünüyor. EDR (Endpoint Detection and Response) gibi güvenlik araçlarının yaygınca dağıtılmasıyla exploit'lerin artık daha hızlı yakalanma olasılığı artsa da, bazı otoriter devlet istihbarat birimlerinin bu tip işlemlere değer verebileceği görüşü de dile getiriliyor.
    • "Gerçekten kara piyasada daha fazla ve vergisiz para kazanılabilir miydi?" sorusu ve bunu güvenilir bir suçlunun nereden ve nasıl bulunacağıyla ilgili bir tereddüt var. İşlem anonimlik ve güven üzerine kurulmak zorunda olduğundan, para alsa bile şantaj gibi yeni riskler doğabilir ve büyük parayı saklamak kolay olmadığından exploit güvenli biçimde nasıl satılabileceği merak konusu. Ayrıca bu yolla para kazanılırsa blogda yazı da yayımlanamaz, araştırmacı ya da işe alım uzmanlarına ismi duyurulamaz; bu yüzden kariyer ve itibar açısından zarar doğacağı düşünülebiliyor.
    • Kara pazar satışının otomatik olarak vergi ödemeden daha fazla kazanç anlamına gelmediği, tersinin de mümkün olduğu anlatılıyor. Bir noktada banka hesabına büyük miktarda para girdiğinde sonunda izlenirsiniz; bu yüzden yalnızca vergi ödemek yetmez gibi davranıp para aklama da yapmak gerekir ve parası karşılık ücrete tabi bir aracıya da para verilir, adeta vergi iki kez ödenmiş olur. Kripto para da aynı şekilde madencilik kanıtı istenir olduğu için kolay bir çözüm değil.
    • Herkesin sadece para üzerinden karşılaştırma yapması eleştirilip, daha iyi bir tutum benimseyelim deniyor. Potansiyel kazanç için sayısız suçlunun milyonlarca kişiye zarar verme fırsatı açmasının düşünülmesi gerektiği vurgulanıyor.
    • Kara pazarda vergi ödemeden daha fazla almanın otomatik olmadığını yineleyen bir görüş sunuluyor. Chrome'da sandbox escape veya bu tür atlatmalar için resmi olarak 200.000 dolara kadar verilebileceğini gösteren duyuru'un 72. slaytı paylaşılmış. Bu sunum GitHub'da bulunuyor ama GitHub şu an çalışmadığı için ek olarak reddit bağlantısı paylaşılmış.
    • Böyle açıkların, likit pazarın bulunduğu az sayıdaki örneklerden biri olduğu söyleniyor. Özellikle bu bug'lar birden fazla kez yeniden satılabilir; örneğin ulusal düzeyde tüm istihbarat kurumlarına veya kolluk güçlerine satan uzman şirketlerin bulunduğu örnekler var.
  • Chrome'da sandbox escape ve yüksek kalitede rapor için ödül 250.000 dolar. Mozilla'nın aynı tür açığa yalnızca 20.000 dolar ödediğini göstermek için resmi kurallar, Mozilla bug bounty bağlantıları karşılaştırılmış.
    • Wikipedia ölçütüne göre bu oran (Mozilla'nın net kârına göre) %0,012. Yorumlarda bu karşılaştırmanın uygun olmadığı da söylenmiş ama yüzdeye dökülünce Google'ın oranının yaklaşık 50 katı olduğu için yeterli olduğu düşünülüyor. (Başta oran hesabını yanlış yapmış, sonrasında düzelterek %0,012 olduğunu belirtmiş — 20.000 dolar, 157.000.000 doların %0,012'si, yani Google yüzdesinden 50 kat yüksek)
    • Chrome kullanıcıları Firefox kullanıcılarından 15-20 kat fazla olduğu için, bu bug'un karaborsadaki fiyatı da benzer ölçüde yüksek oluyor. Safari'de kullanıcı profili daha varlıklı ve güvenliğe az ilgili olduğu için fiyatın daha da yüksek olabileceği eklenmiş.
    • İki şirketin mali durumuna bakıldığında Google'ın Mozilla'dan çok daha fazla para kazandığı savunuluyor.
    • HN'de her birimizin Mozilla CEO'su olup istediğini söylediği bir parodi yapmak isteyenler var deniyor. Ofise ciddi şekilde girip herkesin en sevdiği politikaları (gizlilik, web standartlarının güçlendirilmesi, hız iyileştirme, bug bounty ödülünü artırma vb.) savunup tartıştığı bir sahne hayal edilirken, arka planda sürekli düşen bir kırmızı çizgi ile (gelir düşüşü) yavaş çekim bir çizgi film imajı çiziliyor.
    • Gri pazar tarafında da Firefox açıklarının hem talep hem de arz açısından düşük kalması nedeniyle ödüllerin çok daha az olduğu görüşü var.
  • "Bu haftada açığa çıkarmak için sorunu 5 gün önce açtık" ifadesini görünce Defcon'a gönderme yapan bir selamlama gibi bulunan bir yorum var.
  • Bu bug'un bir mantık/zamanlama hatası olduğu ve Rust ile yazılmış olması nedeniyle otomatik engellenemez olduğuna dikkat çekiliyor.
  • Sandbox escape bug'ın ne olduğunu, tarayıcıdaki "renderer", "native API" ve "sandbox" kavramlarına hâkim olmayan biri için anlaşılır şekilde anlatan bir kaynak olup olmadığı soruluyor.
    • Önce JavaScript motoru gibi bir açıkla renderer sürecini ele geçirmek 1. adım, bu durumda bile renderer sandbox içinde kalır. Bu gönderideki bug da 2. adım (sandbox escape) için. Yayınlanan patch.diff, zaten hacklenmiş bir renderer sürecini simüle eden bir yama olduğunu gösteriyor.
  • Ödülle ilgili yorum bağlantısı burada.
  • İnanılmaz büyük bir para ve hayatı değiştirecek gibi bir tazminat olarak görülebileceği, ayrıca böyle ödülleri görmekten keyif alındığı belirtiliyor.
    • Benim yaşadığım Danimarka'da bu tutar, vergisiz bile olsa bir adet stüdyo daire alabilecek seviyede değil.
    • İlk 240.000 dolarlık bonusu aldığımda hayatımın değişeceğini düşünmüştüm ama 100.000 doları vergiye gitti. Araba için 20.000 dolar ödeyince yapacak fazla bir şey kalmamıştı. LA/SF/NYC fiyatlarına bakınca yetersizdi ve bir startup kurmak için de yetmedi. Üniversite öğrencisi gibi yaşamaya dönüp 2-3 yıl geçirebilirdim ama 34 yaşındaydım ve öğrenci yaşantısına dönmek zordu. Sonuçta gerçekten büyük bir değişim yaratmadı; bu kadar para almış olmaya rağmen bu kadar iyi hissetmek istediğim kadar olmadı. 25 yıl önceydi; bugün bu üç şehirden hangisinde olursa olsun 1.000.000 dolar (vergiden sonra 600.000 dolar) bile hayatı değiştirecek bir rakam değil. En azından ev depozitosu ya da çocukların üniversite giderleri gibi harcamalar karşılanabilir, ama beklenen özgürlük hissedilemedi.
    • Rakamın anlamı nerede yaşadığına göre değişir denmiş. Gelişmiş ülkeler içinde 250.000 dolar, hayatı değiştirecek bir tutar denemez; "geçici bir rahatlama sağlayan" bir meblağ gibi. Vergi sonrası ev de alınamayacak düzeyde.
  • Bu kadar büyük bir projede bug bulmanın gerçekten şaşırtıcı olduğu, adeta samanlıkta iğne aramaya benzediği söyleniyor.
    • Büyük ve karmaşık projelerde hem daha fazla kod hem de daha fazla bug olduğu için, küçük projelere göre sorun bulmanın aslında daha kolay olabileceği görüşü var. Ancak Sandbox Escape gibi kritik açıkların Google'ın cömert ödül politikasını çektiğini, bu yüzden çok sayıda kişinin elle ve otomatik analiz (fuzzer araçları dahil) yaptığını düşündüğü için bulunmalarının zaten çok zor olduğu belirtiliyor. 2014'te Chrome'da tesadüfen bir bug bulduğunu (bulmaya çalışırken değil, JS kodu yazarken tesadüfen fark ettiğini) ve bunu bildirdiğinde Google'ın 1.500 dolar ödediğini, yaklaşık 30 dakikada tamamlandığını anlatıyor. İlgili bağlantı
    • Tersine, büyük projelerin bileşenleri arasındaki beklenmedik etkileşimlerin çok olmasından dolayı da bulunması kolaylaşabilir diye düşünüyor. Önemli güvenlik sınırlarını oluşturan bölümlere (bu sefer renderer ve broker arasındaki iletişim) odaklanıp uç durumları kazıma işinin kritik olduğu vurgulanıyor. Google bu tip bug'lara ödeme yaptığı için tespit ederseniz büyük ödül alırsınız. Yine de yineleyiciler: hâlâ iyi bir araştırmacı yetkinliği olmadan bu seviyedeki açıkları bulmak mümkün değil.
  • Ödül ödeme hızı da dikkat çekici. Yaklaşık 4 haftada ödeme gelmiş, birçok şirketin ise bug raporunu onaylamak için aylarca beklettiği örnekler çok.
  • DOJ'nin Chrome'un parçalanmasını zorunlu kıldığı bir senaryoda yeni bir sahiplik oluşursa bu seviyede bug bounty'lerin devam edip etmeyeceği konusunda şüpheli bir tavır var.