Reklam verenlerin Google ve Google’a bağlı içerik sunan siteler üzerinde tıklama başına reklam alanı satın alma veya izlenim-tabanlı reklam verme imkanı sunan Adwords, Google’ın başlıca gelir kaynağı durumunda.
Söz konusu açık, Adwords ara-yüzünde Google Adwords reklam verenlerine karşı çapraz-site betikleme (XSS), tahrifat yapma, sayfa ele geçirme ve benzeri diğer saldırıları tetikleyebilecek bir HTTP Yanıt Bölme açığı idi.
Açığın tanımını yapan güvenlik araştırmacısı Debasis Mohanty’ye göre HTTP Yanıt Bölme açığı, HTTP başlık bölümünün değer kısmına düzgün bir biçimde CRLF (taşıma dönüşü satırı ilerleme) karakterleri kaldırılmadığında / çıkartılmadığında kullanıcı girdisi enjekte edilerek mümkün kılınıyor. Bu durum da tek bir yanıt yerine iki HTTP yanıtına yol açabiliyor.
Açığı ilk kez karşılaşılan bir istismar yöntemi (zero day exploit) olarak yayınlamaktansa, Mohanty önce açığı bir proof of concept** ile 20 Kasım’da Google’a gönderdi.
Google hemen ertesi gün açığın geçerli bir açık olduğunu doğrulamakla birlikte, Mohantly Google’ın giderdiği açığı daha bu hafta duyurdu.
Google’ın söcüsü Barry Schnitt verdiği bir demeçte “Google bu konudan haberdar edilmişti ve sorunu gidermek için birlikte çalışarak sorun halka duyurulmadan hemen önce açığı gidermeyi başardık,” dedi.
“Şu ana dek bu açıkla ilgili bize rapor edilen herhangi bir şey olmadı. Güvenlik açıklarını duyurmak konusunda sorumlu davranışından dolayı bize bu açığı rapor eden kişiyi de ayrıca takdir ediyoruz.”
*Cross site scripting (XSS), bir bilgisayar güvenlik açığıdır. Saldırgan, HTML kodlarının arasına istemci tabanlı kod gömmesiyle, kullanıcının tarayıcısında istediği istemci tabanlı kodu çalıştırabilir.
** Bulunan güvenlik açığının ispatı için hazırlanan, sisteme zarar vermeyip sadece kullanılabilir olduğunu gösteren exploit’lere denir.

Kaynak : 