Giriş
Son zamanlarda, Fluid Attacks, X-VPN macOS web sitesi sürümleri 77.0 ile 77.5 arasında etkilenen yerel ayrıcalık yükseltme açığını (CVE-2026-2638) sorumlu bir şekilde bildirdi. Raporu ciddiye aldık, sorunu dahili olarak yeniden ürettik ve X-VPN macOS web sitesi sürümü 77.5.1’de düzeltmeyi yayınladık. Dahili incelememiz, sorunun X-VPN’in VPN tünelinde, şifreleme protokolünde, hesap sisteminde veya sunucu altyapısında olmadığını ve etkilenen macOS web sitesi aralığı dışındaki diğer X-VPN platformlarının veya sürümlerinin etkilenmediğini doğruladı. Doğada herhangi bir istismar gözlemlenmedi. Etkilenen sürümlerin kullanıcıları, mümkün olan en kısa sürede güncelleme yapmalıdır.
Şeffaflık ve hesap verebilirlik ruhuyla, zafiyetin detaylarını, kapsamını ve aldığımız önlemleri paylaşacağız.
Table of Contents
Anahtar Bulgularımız
CVE-2026-2638, X-VPN macOS web sitesini (xvpn.io’dan indirilen bağımsız macOS sürümü) etkileyen yerel ayrıcalık yükseltme açığıdır ve 77.0-77.5 sürümlerini kapsamaktadır. Yerel ayrıcalık yükseltme sorunu, belirli yerel koşullar altında, aynı cihazda sınırlı izinlere sahip bir kullanıcı veya sürecin yönetici düzeyinde erişim kazanabileceği anlamına gelir. X-VPN, bu sorunu X-VPN macOS web sitesi sürümü 77.5.1 ve sonrasında düzeltmiştir.
Açıklık, X-VPN macOS web sürümündeki İndirme Koruması özelliğinden kaynaklanmaktadır (Güvenlik → Tarayıcı Koruması → İndirme Koruması altında bulunur), bu özellik indirilen dosyaları tarar, tehlikeli görünenleri karantinaya alır ve talep üzerine geri yükler. Dosyaların karantinaya alınması ve geri yüklenmesi, macOS sistem izinleriyle korunan konumlara yazmayı içerdiğinden, bu özelliğin bazı bölümleri yönetici düzeyinde izinlerle çalışır.
CVE-2026-2638, tarayıcı, karantina ve geri yükleme aşamalarında dosya kimliğini doğrulayan bu yönetici düzeyindeki özelliğin bir hatasıydı; bu, kötü niyetli bir yerel programın ayrıcalıklı bir işlemi, hedeflenen dosya dışında bir dosyaya yönlendirmesine izin verebilir. Ayrıntılı bir açıklama CVE-2026-2638 Nedir başlığında sağlanmıştır.
Bu, uzaktan bir ağ saldırısı değildi ve X-VPN’in VPN tünelini, şifreleme protokolünü, hesap sistemini veya sunucu altyapısını etkilemedi. X-VPN’in Mac App Store versiyonu ve X-VPN’in Windows, iOS, Android, Linux, Router, TV, Chrome Uzantısı, Chromebook ve Oyun Konsolları için olan sürümleri etkilenmedi.
X-VPN macOS web sürümünü kullanan kullanıcıların şimdi 77.5.1 veya daha yeni bir sürüme güncellemeleri gerekmektedir.
Aşağıda anahtar bilgiler özetlenmiştir:
Öğe | Resmi Açıklama |
|---|---|
CVE ID | CVE-2026-2638 |
Durum | Düzeltilmiş |
Etkilenen Sürümler | X-VPN macOS web sitesi sürümü 77.0–77.5 |
Düzeltilmiş Sürüm | X-VPN macOS web sitesi sürümü 77.5.1 ve sonrası |
Etkilenmeyen Sürüm | X-VPN Mac App Store sürümü/ Windows/ iOS/ Android/ Linux/ Router/ TV/ Chrome Uzantısı/ Chromebook/ Oyun Konsolları |
Zafiyet Türü | Yerel Ayrıcalık Yükseltmesi |
Şiddet | CVSS v4.0 puanı 7.3, Yüksek |
Sömürü Durumu | Mevcut veriler doğrultusunda, bu sorunun doğada herhangi bir istismarına dair bir bilgimiz yok; ilgili kullanıcı raporları alınmamıştır. |
Kullanıcı Eylemi | X-VPN macOS web sitesini 77.5.1 ve sonraki sürüme güncelleyin. |
CVE-2026-2638 nedir?
CVE-2026-2638’in nasıl istismar edilebileceğini açıklamak için, önce İndirme Koruması’nın normalde nasıl çalıştığına bakmak faydalı olacaktır.
X-VPN macOS web sürümündeki İndirme Koruma özelliği üç aşamalı bir süreç izler: yeni indirme dosyalarını tarar, şüpheli görünen dosyaları karantinaya alır ve bir geri yükleme işlemi talep edildiğinde bunları geri yükler. Hangi dosya üzerinde çalıştığını her aşamada belirlemek için, özellik dosyayı Mac üzerindeki konumuna göre takip eder: dosya yolu. Açık, buradan kaynaklanıyordu: özellik, dosyanın gerçek içeriğini bağımsız olarak yeniden doğrulamadan, dosya yoluna güvenerek tüm üç aşama boyunca aynı dosyayı göstermeye devam etti.
Normal kullanımda, bu makul bir varsayımdır, dosya yolları genellikle işlemler arasında değişmez. Ancak iki özel koşul altında, bu varsayım istismar edilebilir:
1
2
İlk koşul doğal bir soru ortaya çıkarır: Böyle bir kötü niyetli program nereden gelir? Bu, kısaca ele alınmaya değer, çünkü cevap aynı zamanda CVE-2026-2638’in neye, neye neden olmadığını da gösterir.
Kötü Amaçlı Program Nereden Gelir
Kötü niyetli bir program, bir cihazda herhangi bir olağan yol aracılığıyla ortaya çıkabilir; örneğin, bir oltalama e-postasını açmak, güvenilmeyen bir kaynaktan yazılım indirmek ve çalıştırmak veya tehlikeye atılmış bir üçüncü taraf uygulamasını yüklemek. Bu başlangıç enfeksiyon yolları, CVE-2026-2638’den bağımsızdır.
macOS’ta, programlar genellikle onları başlatan kullanıcının izinleriyle çalışır. Bu kanallar aracılığıyla kurulan kötü niyetli bir program, bu nedenle yalnızca normal kullanıcı izinleriyle başlayacak, kendi başına korunan sistem konumlarını değiştiremeyecek veya yönetici düzeyinde eylemler gerçekleştiremeyecektir. Yönetici düzeyinde erişim elde etmek genellikle kullanıcının bunu açıkça yetkilendirmesini gerektirir (örneğin bir şifre istemi aracılığıyla). Bu nedenle yerel ayrıcalık yükseltme güvenlik açıkları önemlidir: saldırganlara bu engeli aşmanın bir yolunu sunarlar.
Saldırıya Olanak Tanıyan İki Boşluk
Boşluk 1: Zamanlama Boşluğu (CWE-367: Kontrol Zamanı Kullanım Zamanı Yarış Durumu)
- Download Protection, bir dosyayı bir aşamada kontrol eder ve daha sonra başka bir aşamada buna göre hareket eder. Bu iki olay arasında kısa bir an vardır. O anda, yalnızca her kullanıcının zaten sahip olduğu dosya düzenleme izinlerini kullanan kötü niyetli bir program, orijinal dosyayı farklı bir dosyayla değiştirebilir. Download Protection, ardından değiştirilmiş dosya üzerinde ayrıcalıklı adımını gerçekleştirecek, kontrol ettiği dosya üzerinde değil.
Boşluk 2: Sembolik Bağlantı Boşluğu (CWE-59: Dosya Erişimi Öncesi Yanlış Bağlantı Çözümü)
- macOS, kullanıcıların başka bir dosyaya temelde bir kısayol oluşturmasına olanak tanır, bu bir “sembolik bağlantı”dır. Normal bir dosya gibi görünür ve davranır, ancak herhangi bir program bunu açtığında, sistem otomatik olarak kısayolun işaret ettiği yere yönlendirir.
Açıklık, İndirme Koruması’nın işleme alacağı dosyanın gerçekten başka bir yere kısayol olup olmadığını kontrol etmemesiydi. Kötü niyetli bir program, İndirme Koruması’nın harekete geçeceği yere böyle bir kısayol yerleştirebilir ve bunu sistemdeki başka bir önemli dosyaya yönlendirebilirdi. Yönetici düzeyinde izinlerle çalışan İndirme Koruması, bu dosya üzerinde işlemini bilmeden gerçekleştirecekti, o dosya asla dokunulması gereken bir dosya olmamasına rağmen.
Bu Nedenle Ayrıcalık Yükselmesine Yol Açtı
Her iki durumda da, kötü niyetli program doğrudan yeni izinler kazanmadı. Yaptığı şey, Download Protection tarafından gerçekleştirilen meşru bir ayrıcalıklı işlemi, kötü niyetli programın başka türlü değiştirme yeteneğine sahip olmadığı bir dosyaya yönlendirmekti. Download Protection’ı kendi adına sistem korumalı bir konuma yazmaya kandırarak, kötü niyetli program dolaylı olarak yalnızca yönetici düzeyindeki süreçlerin normalde yapmasına izin verilen değişiklikler yapabilirdi.
CVE-2026-2638’i yerel ayrıcalık yükseltmesi yapan şey buydu: yönetici düzeyinde erişimi çalmaktan değil, meşru bir yönetici düzeyindeki işlemi asla yapmaması gereken bir şeyi yapmaya kandırmaktan.
Pratikte, bu, kötü niyetli programın, yönetici yetkisi gerektirmesi gereken cihazın sistem düzeyindeki davranışında değişiklikler yapabileceği anlamına gelir.
CVE-2026-2638’in Ne Olmadığı
- X-VPN sunucularının ihlali değil
- VPN tünelinde, şifreleme protokolünde, hesap sisteminde veya sunucu altyapısında bir zayıflık yoktur.
- Uzaktan bir saldırı değil, cihaza yerel düşük ayrıcalıklı erişim gerektirir.
- Diğer platformlar veya App Store sürümü için geçerli değildir.
Nasıl Düzeltik
X-VPN macOS web sitesi sürümü 77.5.1, indirme koruma dosyası geri yükleme iş akışını güçlendiriyor. Ana iyileştirmeler şunlardır:
1. Dosya Kimliği Tutarlılık Kontrolleri
İndirilen bir dosya koruma katmanı tarafından tarandığında, dosyanın içerik parmak izi artık kaydedilir. Eğer dosyanın daha sonra karantinaya alınması gerekiyorsa, X-VPN mevcut dosya içeriğinin hala taranan içerikle eşleşip eşleşmediğini yeniden doğrular.
Eğer dosya tarandıktan sonra değiştirilmiş, değiştirilmiş veya başka bir şekilde değiştirilmişse, karantina süreci reddedilir.
2. Karantina Bütünlüğü Doğrulama
Bir dosya karantinaya girdikten sonra, karantinadaki durumu hakkında bütünlük bilgileri kaydedilir. Bir kullanıcı dosyayı geri yüklemeden önce, X-VPN karantinadaki dosyanın hala kaydedilen karantina durumunda olduğunu yeniden doğrular.
Eğer karantinaya alınan dosya değiştirilmiş veya değiştirilmişse, geri yükleme işlemi engellenir.
3. Sembolik Bağlantılar Kritik İşlemlerde Kabul Edilmez
İndirme koruma iş akışı artık sembolik bağlantı dosyalarını taramayı veya geri yüklemeyi reddediyor. Bu, saldırganların yol manipülasyonu yoluyla karantinaya alma veya geri yükleme işlemlerini istenmeyen dosyalara yönlendirmesini engelliyor.
Genel olarak, bu düzeltme artık yalnızca dosya yollarına dayanarak işlem yapılan dosyayı tanımlamıyor. Bunun yerine, X-VPN artık tarama, karantina ve geri yükleme aşamalarında dosyaların değiştirilmediğini veya yer değiştirilmediğini doğrulamak için çok aşamalı içerik bütünlüğü kontrolleri kullanıyor. Ayrıca, ayrıcalıklı geri yükleme işlemlerinin istenmeyen dosya konumlarına uygulanmasına neden olabilecek sembolik bağlantı yönlendirmelerini de engelliyor.
Ciddiyetin Anlaşılması
CVE-2026-2638, 7.3 (Yüksek) CVSS v4.0 temel puanı ile derecelendirildi, vektör dizesi:
CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
CVSS (Ortak Güvenlik Açığı Puanlama Sistemi), güvenlik açıklarının ciddiyetini derecelendirmek için endüstri standardı bir çerçevedir. CVSS standardını sürdüren FIRST’e göre, CVSS bir açığın başarılı bir şekilde istismar edilmesi durumunda ne kadar ciddi olabileceğini ölçer, pratikte o istismarın ne kadar olası olduğunu değil. Bu nedenle “Yüksek” bir derecelendirme, açığın başarılı bir istismar altında ne kadar zarar verebileceğini yansıtır, gerçek kullanıcılar üzerinde istismar edilme olasılığını tahmin etmez.
Yukarıdaki vektör dizesi, skoru birden fazla boyuta ayırır; örneğin, saldırının nereden başlaması gerektiği, bunu istismar etmek için hangi koşulların sağlanması gerektiği ve başarılı bir saldırının sistemi ne kadar ciddi şekilde etkileyebileceği.
Pratikte, vektörün iki özelliği CVE-2026-2638’den yararlanmanın neden bu kadar basit olmadığını açıklamaktadır:
- AV:L (Saldırı Vektörü: Yerel). İstismar, cihaza yerel erişim gerektirir. Açık, internet üzerinden uzaktan tetiklenemez.
- AT:P (Saldırı Gereksinimleri: Mevcut). Saldırının başarılı olması için belirli koşulların karşılanması gerekmektedir; bu koşullar arasında etkilenen indirme koruma dosyası geri yükleme iş akışıyla etkileşim kurma yeteneği ve dar bir zaman penceresi içinde dosya işlemlerini manipüle etme yeteneği bulunmaktadır.
Bu nedenle, CVE-2026-2638 ciddiye alınmalıdır ve etkilenen macOS web sitesi sürümlerinin kullanıcıları, X-VPN macOS web sitesi sürümü 77.5.1 veya daha yenisine güncellemelidir. Ancak, istismar için yerel erişim ve belirli koşullar gerektiğinden, X-VPN kullanıcılarını hemen, geniş ölçekli uzaktan bir risk altına sokmamaktadır.
Etkilenen Kapsam
Aşağıdaki tablo, hangi X-VPN sürümlerinin CVE-2026-2638’den etkilendiğini özetlemektedir:
Platformlar & Sürüm | Etkilendi mi? |
|---|---|
X-VPN macOS web sitesi versiyonları 77.0 ile 77.5 (xvpn.io’dan indirilen bağımsız macOS sürümü) | ⚠️ Etkilenen — lütfen hemen güncelleyin |
X-VPN macOS web sitesi, sürüm 77.5.1 ve sonrası | ✅ Etkilenmedi (düzeltmeyi içerir) |
X-VPN Mac App Store sürümü | ✅ Etkilenmedi |
X-VPN Windows / Linux / iOS / Android / TV / Router / Chromebook / Oyun Konsolları / Chrome Uzantısı için | ✅ Etkilenmedi |
Kullanıcılar için Öneriler
En son sürüme hemen güncelleyin.
Mevcut sürümünüzü kontrol etmek için:
- MacBook’unuzda X-VPN uygulamasını açın.
- Sol alt köşedeki Ayarlar’a tıklayın.
- X-VPN Hakkında tıklayın.
- Mevcut sürümünüz “X-VPN for Mac” altında gösterilmektedir.
Eğer sürümünüz 77.0 ile 77.5 arasında ise, en son sürümü Mac İndirme sayfasından indirerek güncelleyin.
Sonraki Adımlar & İletişim
X-VPN, bu belirli sorunun ötesinde kullanıcı güvenliğine bağlı kalmaya devam etmektedir. Sürekli güvenlik uygulamalarımızın bir parçası olarak.
- Sürekli kod denetimleri ve zafiyet taramaları: Kod tabanımızı düzenli olarak gözden geçiriyoruz ve kullanıcılarımıza ulaşmadan önce potansiyel sorunları tanımlamak ve çözmek için güvenlik kontrolleri yapıyoruz.
- Hata Ödül Programı: Güvenlik araştırmacılarını, Hata Ödül Programı aracılığıyla sorumlu güvenlik açığı raporları göndermeye davet ediyoruz. Geçerli ve tekrarlanabilir bulgular, her X-VPN kullanıcısının güvenliğini güçlendirmemize yardımcı olan maddi ödüllere uygun olacaktır.
- Doğrudan raporlama kanalı: Eğer bir güvenlik endişesi keşfeder veya X-VPN’de olağandışı bir davranış şüphelenirseniz, lütfen security@xvpn.io adresine e-posta gönderin. Tüm raporlar güvenlik ekibimiz tarafından incelenmektedir.
Fluid Attacks’a CVE-2026-2638’i sorumlu bir şekilde açıkladığı ve bizimle koordineli açıklama süreci boyunca çalıştığı için teşekkür ederiz.
SSS
Bu güvenlik açığı düzeltildi mi?
Evet. Açık, X-VPN’in macOS web sitesi sürümü 77.5.1’de tamamen çözülmüştür. 77.0–77.5 sürümündeki kullanıcıların hemen güncelleme yapması gerekmektedir.
X-VPN kullanıyorsam risk altında mıyım?
Sadece doğrudan indirilen 77.0 ile 77.5 arasındaki sürümlerdeki macOS kullanıcıları etkilenmektedir. Eğer 77.5.1 veya daha yeni bir sürümde, App Store sürümünde veya başka bir platformda (Windows, iOS, Android, Linux vb.) iseniz, etkilenmiyorsunuz.
X-VPN macOS web sürümünde İndirme Koruması varsayılan olarak etkin mi?
Hayır. İndirme Koruması, X-VPN macOS web sürümünde varsayılan olarak devre dışı bırakılmıştır ve manuel olarak etkinleştirilmelidir.
Zayıf iş akışı yalnızca İndirme Koruması etkin olduğunda çalıştığı için, yalnızca etkilenen macOS web sürümünde (77.0 ile 77.5 arasında) bu özelliği açıkça etkinleştiren kullanıcılar CVE-2026-2638’e maruz kalmıştır. İndirme Korumasını hiç etkinleştirmeyen kullanıcılar, zayıf kod yoluna maruz kalmamıştır.
Bu, VPN şifrelemesini veya verilerimi etkiler mi?
Hayır. Açık, kullanıcının kendi cihazında yerel ayrıcalık yükseltme sorunudur. X-VPN’in VPN tünelinde, şifreleme protokolünde, hesap sisteminde veya sunucu altyapısında değildir.
Bu zafiyetten gerçekten saldırıya uğrayan biri oldu mu?
Bu güvenliğin kötüye kullanıldığına dair herhangi bir rapor gözlemlemedik. Fluid Attacks tarafından sorumlu bir açıklama süreci aracılığıyla keşfedildi ve rapor edildi, bu da bize bilinen herhangi bir kötüye kullanım öncesinde bunu düzeltme imkanı sağladı.
Saldırı internet üzerinden uzaktan gerçekleşebilir mi?
Hayır. Bu güvenlik açığından yararlanmak için saldırganın kullanıcının MacBook’una zaten yerel, düşük ayrıcalıklı erişime sahip olması gerekir. Bu, ağ üzerinden veya kötü niyetli bir web sitesi aracılığıyla uzaktan tetiklenemez.
X-VPN’e güvenlik sorunlarını nereye bildirebilirim?
Lütfen security@xvpn.io adresine e-posta gönderin veya Hata Ödül Programımız aracılığıyla gönderim yapın. Sorumlu güvenlik ifşalarını memnuniyetle karşılıyor ve ödüllendiriyoruz.
