Teknoloji

Yahoo Axis’te güvenlik açığı keşfedildi

Yahoo’nun bugün duyurusunu yaptığı Axis adlı masaüstü web tarayıcı eklentileriyle iOS uygulaması bir tartışmayı da beraberinde getirdi. Bazıları Yahoo’nun Axis’i bir internet tarayıcısı şeklinde değil de bir eklenti olarak sunmasını ve bunun Chrome’da güvenlik sorununa yol açmasını garip karşıladı. Eklentiler bir güvenlik sertifikasıyla imzalanır, böylelikle Google da onların güvenli bir kaynaktan geldiğini anlar. Yahoo tarayıcı koduna kendine ait özel sertifikayı eklemiş ve herkese görünür hâle getirmiş gibi görünüyor.

Bu durum özel sertifika dosyasına erişebilenler için büyük güvenlik sorunlarını da beraberinde getiriyor. Bu durumda yazılımcılar Yahoo’nun anahtarını kullanarak kendi eklentilerini imzalayabilirler, bu da Chrome’un gerçekliğini sorgulamasına ihtiyaç bıraktırmadan zararlı eklentilerin Chrome’a yüklenmesine kapı açabilir. Nik Cubrilovic bu açığı kendi blogunda dile getirmiş ve ayrıca Yahoo’nun özel sertifikasının nasıl kullanılabileceğinin örneğini sunmuş.

Cubrilovic Chrome kullanan herkesin Axis eklentisini hemen kaldırmasını tavsiye ediyor. Aksi durumda bir korsan tüm internet trafiğini, şifreler de dahil olmak üzere takip eden br eklenti oluşturma şansına sahip olabilir. Cubrilovic konuyla ilgili olarak Yahoo ile temasa geçtiğini, ancak şimdiye kadar güvenlik ekibinden herhangi bir ses çıkmadığını kaydetti.

Bu arada Cubrilovic’in yazısının yorum kısmında Yahoo’dan olduğunu belirten Ethan Batraski adlı bir ziyaretçi ekibin bu açıktan haberdar olduğunu ve kapatmak için çalıştığını kaydetti. Söz konusu anahtarın Google tarafından kara listeye alınması için başvurduklarını, bu gibi problemleri çok ciddiye aldıklarını ve çözülmesi için de zamanla yarıştıklarını kaydetti. Sorun çözülene kadar hangi eklentileri yüklediğinize dikkat etmeniz yararınıza olacaktır.

İlgili – Nik Curbrilovic