Ah Microsoft Vah Microsoft...

0
elrond
elrond
5 Kasım 2001 , 1 dakika okuma süresi
Bildiğimiz gibi Passport.com Microsoft`un .Net vizyonunun en önemli mihenk taşlarından biri. Passport servislerinin en güzel kullanım yerlerinden biri de e-Wallet. Evet! Bildiniz! Passport Authentication`da tespit edilen bir güvenlik açığı nedeniyle servis geçici olarak hizmet dışı. (Ne yalan söyleyeyim ben bile bu servisi güvenip te kullanmamıştım)
Microsoft sözcüsü müşterilerinin güvenliği için servisi durdurduklarını açıklamış.

Açığı yakalayın Seattle`dan Marc Slemko adlı bir Open-Source software engineer arkadaş. (Bu da çok garip değil mi?) Mark abimiz "Keşfettiğim açık çok çok basit ve tedavisi kolay ancak, Passport gibi complex bir servise fix apply etmek biraz kasabilir" buyurmuş.

Exploit, uygulamalar arası mevcut bir "cross-scripting vulnerabilities " (Türkçesini yazabilecek varsa beri gelsin ;-)' i kullanıyor. Web Servisi (Mesela Ebay) ve Mail Servisi (Hotmail) birbirleri arasında data trasfer ederken pek özenli davranmıyormuş meğer.

Kullanıcı Hotmail`e Sign-In olduktan 15 dakika sonra diğer Passport servislerine de (Wallet, Passport, My MSN, MSDN vs..) cookieler ile otamatik sign-in oluyor. Saldırı yapacak arkadaş bu 15 dakika içinde bu cookie`den faydalanabiliyor. Marc abiye olayı anlaması için 30 dakikalık bir brainstorm yetmiş ;-)

Microsoft .Net ürün müdürü Adam Sohn "Herhangi bir kullancımızın kişisel datalarının ele geçtiğine dair bir delil yok" demiş. Aynen sigara üreticilerin bir zamanlar "Sigaranın ölüme yol açtığına dair kesin delil yok" demeleri gibi değil mi...

Sevgiyle kalın.

Şuraya bakın isterseniz.
Micros~1
Linkedin Facebook Twitter Google plus

Görüşler

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Microsoft, RPC açığı için Windows NT yaması çıkarmayacağını açıkladı
acemi_
28 Mart 2003, 1 dakika okuma süresi

Windows NT, Windows 2000 ve Windows XP'yi etkileyen ve saldırganların, DOS saldırısı yapmasına imkan sağlayan RPC Endpoint Mapper açığının ortaya çıkmasından sonra ilginç bir gelişme yaşandı. Microsoft, Windows 2000 ve Windows XP için gerekli yamaların hazır olduğunu ama Windows NT için bir yama çıkarmayacağını açıkladı.

Güvenlik açısından "önemli" olduğu belirtilen bu açık için neden yama çıkarmadığını Microsoft şu şekilde açıklıyor: "Windows NT mimarisi, daha sonra çıkan Windows 2000 mimarisi kadar sağlam değildir. Bu önemli mimari farklılıktan dolayı Windows NT için bu açığı etkili bir şekilde kapatacak bir yama çıkarmak mümkün değildir. RPC ile ilgili bileşenlerin değiştirilmesinden öte, Windows NT mimarisinde önemli ölçüde değişiklikler yapmayı gerektirmektedir."

Microsoft sistemi hava trafiğini aksattı...
Soulblighter
15 Ekim 2004, 1 dakika okuma süresi

Çünkü birileri reboot etmeyi unutmuş! :) Aynen öyle...

Micros~ sistemindeki bir hata, insan hatasıyla birleşince neredeyse facia yaşanıyordu. 3 saat boyunca hava trafiğinin radio sinyallerini durduran bu hata, yüzlerce uçağın havada beklemesine neden oldu.

Olay sonucunda Güney Kaliforniya'nın yakınındaki tüm havaalanları kapandı ve havadaki uçaklar 5 kez çarpışma tehlikesi atlattı. Bunlardan biri pilotların ani hareketiyle son anda önlendi.

Olayın nedeni ise şöyle açıklandı:

UNIX sistemi yerine yerleştirilen Micros~ sisteminin 'veri taşmasını önlemek için' her 30 günde bir yeniden başlatılması gerekiyordu. Bir teknisyen bu işlemi doğru zamanda yapmayı unuttu ve sistem (kendi içindeki hatadan dolayı) kendini kapattı. Bu yüzden yedekleme işlemi de gerçekleştirilemedi.

Microsoft konuyla ilgili henüz yorum yapmadı.

Kaynak: http://software.silicon.com/applications/0,39024653,39124122,00.htm

Smartphone, Hacker´lara Yaramış
anonim
30 Ocak 2003, 1 dakika okuma süresi

Microsoft, hacker’ların Smartphone kullanımını araştırıyor Microsoft ve Orange UK ortak bir çalışma ile hacker’ların, Microsoft’un Smartphone 2002 işletim sistemini kullanan cep telefonlarına, zararlı yazılımlar gönderilmesini araştırıyor. Smartphone, pazarda Microsoft’un ileri düzey telefonlar için hazırladığı işletim sistemini kullanan tek kablosuz cihaz konumunda. ZDnet’in haberine göre, benzeri bir durumla karşılaşan bir mağdurun "çoğu Smartphone kullanıcısının saldırıdan etkilenip etkilenmediklerini büyük olasılıkla anlamayacaklar" dediği belirtiliyor. Microsoft yetkililerinden gelen açıklamaya göre yazılımlarının güvenlik açıklarını denetleyen Microsoft Security Response Center, sorunu doğrudan araştırmaya başladı bile. Bütün bu olanlara karşın henüz zarar gören bir telefon haberi de alınmadı.

Kaynak: www.itb.com.tr

Hailstorm Microsoft´un 2003 planından çıkartılmış.
conan
18 Aralık 2002, 2 dakika okuma süresi

.NET My Services Microsoft'un oldukça önem verdiği XML web servislerinden birisiydi. Microsoft, kod adı Hailstorm olan ve içinde elektronik online adres defteri, online telesekreter gibi 14 tane servis barındıran bu projesini 2003 planından çıkarmış görünüyor. My Services'ın başlangıç tarihi geçtiğimiz Nisan ayında da yaklaşık 8 ay ileriye atılmıştı.

İki gün once açıklanan 2003 planında web servisleri ile ilgili tek madde XML protokolleri üzerineymiş. Şirket 2003de web servislerinin güvenliğini arttırmak üzere VeriSign ve IBM'in kaleme aldıkları WS-Security standartını uygulama yönünde çalışmalar yapacagını da belirtmiş.

Microsoft ICMP Paketleri İle Kendi Logosunu Yolluyor
FZ
10 Haziran 2003, 1 dakika okuma süresi

Kendi makinasında hemen hemen hiç ping yapmadığı halde netstat -s -p icmp sonucunda 2000´e yakın ICMP paketinin yollandığını gören Seth Stein, Ethereal ile ağ trafiğini ve Windows XP makinasının neler yaptığını dinlemeye karar vermiş.

3 saatlik trafiği kaydettikten sonra bunun analizine girişen Stein, makinasının ağdaki Windows 2000 "domain controller"lardan biri ile konuştuğunu görmüş. Bunda garip bir şey yok. A ile W arasında karakterlerden oluşan bir ağ trafiği. Ancak ICMP echo talep ve cevaplarının bir kısmı oldukça dikkat çekici görünmüş.

Google´da bir miktar araştırma yapan Stein, Perl programlama dili ile bu veriyi biraz düzenleyip bir dosyaya yazmış ve ortaya JPEG formatlı bir Microsoft yazısı çıkmış! Acaba neden? ;-)