Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı

0
Yns_
Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.
Şu an için bildiğim kadarıyla genel bir yama yayımlanmadı, yayımlanana kadar bağlantılara tıklamadan önce dikkat etsek iyi olacak sanırım :)

Görüşler

0
smacker
Bu sorunu ortadan kaldırmanın yolu 1991'de bulundu.
0
Yns_
bu arada bugzilla'da resmi olmayan bir patch yayınlanmış durumda.
0
gnnaahh
Kusura bakmayin tam geyik bir yorum yapacagim.
-ki ler bitisik daha hos!

Demekki acik kaynak kapali kaynaktan pekte ileri seviyede degilmis.
Demekki kaynak acik olunca guvenlik daha hizli saglaniyormus.
Demekki sorun ne zeka seviyesinde nede ahlaktaymis. Sorun populer olmaktaymis.

Guvenli olacaksaniz populer olmakyacaksin.

Guruh adamin uzagini yakinini bir yapar valla :P




0
pvc
Demek ki kapalı kaynak açık kaynaktan daha gerideymiş.
Demek ki kaynak kapalı olunca unoffical patch çıkarılamıyormuş.
Demek ki sorun ne iq seviyesinde nede cahillikteymiş. Sorun saçma sapan yazma hastalığıymış.

Güvenli olacaksanız açık kaynak kullanacaksınız.

Yoksa kasap önünde ciğer bekleyen kedi gibi yama beklersiniz.
0
anonim

http://secunia.com/product/12434/?task=advisories adresindeki "Unpatched 46% (6 of 13 Secunia advisories)" ibaresinden görüleceği üzere

Demek ki Firefox açık kaynağın nimetlerinden yararlanamamaktaymış.
0
pvc
Firefox'dan bahseden kim? Açık kaynak, kapalı kaynaga göre yamalanabilir özellige sahiptir diyoruz. Buda açık kaynagı diğerine göre 1 adım önde kılar.

Kodları kapalı bir programa istesen de yama çıkaramazsın ama ne oldugunu bildigin bir şeye yama yapılabilir.

Yoksa konumuz şu program o nimetlerden yararlanamıyormuş değil ki.

Böyle basit saptırmalarla çıkıyor polemikler zaten.
0
gnnaahh
Sizi bir yerelere mudur yapsalar mudurseniz emekli yapsalarda biraz tatil yapsaniz.
0
everestk
Firefox 2.0.0.6 versiyonu çıktı.
Yapılan Değişiklikler :
Fixed in Firefox 2.0.0.6
MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows
0
pvc
Açık kaynak kapalı kaynaktan daha ileri seviyededir. Bunu biliyor musan? Çünkü açık kaynak için unoffical patch'ler çıkabilir. Birileri açığı önceden farkeder ve kapatabilir. Ama kapalı kaynak sözgelimi Micisoft, o zaman sadece onların vicdanına kalırsın... Yama çıksa diye dua edip çıkınca zevke gelir, Billy amcanın gözlük camlarını yalarsın.

Açık kaynak çok daha iyidir. En azından sorunların giderilmesi için M$ ve Billy amcayı beklemek zorunda kalmıyorsun...
0
rao
şu ifade dikkatinizi çekmedi mi??

These examples are launched through the Firefox browser, but require the user to have Internet Explorer 7 installed on their machine

Problem firefox da ise IE 7 ne alaka??

Bende IE 7 yok,olmayacak ta,WinXP ile gelip kurulan IE 6.0.(bilmem kaç var) ve o linklere tıklayınca gmail bana oturum aç diyor başka bir şey de olmuyor.

0
pvc
O yazıyı nereden yapıştırdınız?
0
rao
eğer benim yazdığım metin ise haberde adı geçen billy nin blog undan

http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

****NOTE****
diye belirtilmiş olan bölgedeki ilk cümle
0
Yns_
Keşke Firefox geliştiricileri de senin gibi düşünseydi de, kapatmasalardı açığı..

En "geek" örnek olarak web tasarımcılarını gösterebilmek mümkün.

Zira, müşteriler firefox fanatiği ya da internet explorer düşmanı değil. Dolayısıyla bir site geliştirirken, yazdığınız her css/xhtml kodunu Internet Explorer/Firefox gibi favori tarayicilarda denemek zorundasiniz.

ve evet burada asil nokta ikisinin de yüklü olması, ve ikisinin de yüklü olduğunda bu açığın 'exploit' edilebilmesi...
0
rao
sanırsam yanlış anlaşıldık, IE 7 yok sorun da yok manasında yazmadım bunun direkt olarak firefox'a mal edilmesi manasında yazmıştım.

neyse uzatmanın da bir manası yok.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

ATM şifreleme anahtarı kırmak!

conan

Bu sayfada yazanlara göre IBM 4758 cryptographic co-processor'unden 3DES anahtarını "çalmayı" başarmışlar.

IBM 4758, bankalar tarafından sıklıkla kullanılan bir şifreleme chipiymiş ve IBM'in ATM'lerinde de sıkça kullanılmaktaymış. Bu crack'i gerçekleştirenler, 20 dakika makinaya kesintisiz ulaşımı ve Combine_Key_Parts kullanım yetkisi olan birinin, 995$'lik bir aletle (FPGA evaluation board from Altera) 2 gün içerisinde bu şifreyi ele geçirebilecegini iddia ediyorlar. (nasıl yapılacağını da bilmesi gerektiğini söylemeyi unuttum sanırım) ;)

Big Brother Is Watching You

metalyric

Uyarı: Aşağıdaki haberin yazarı, daha sonra "haberdeki bilgisayara el konulduğunun gözünden kaçtığını" belirterek haberin geri çekilmesini talep etmiştir. Malesef bu habere yorum yapan okurlarımıza olan sorumluluğumuz yüzünden böyle bir şey yapamıyoruz. Lütfen haberi bunun bilinciyle okuyun.

Başka `ILoveYou` virüsü`ne geçiş yok!

larweda

Kendisini adres defterindeki bütün adreslere yollayan ve bu şekilde çok kısa zamanda tüm dünyaya yayılabilen `ILoveYou` ve `Kournikova` gibi virüsleri engellemek için geliştirilen yeni bir yöntem var. Klasik virüs engelleme algoritmalarının tersine, İngiliz Savunma araştırmaları merkezindeki yazılım bilimcilerin geliştirdiği `::Mail` programı, bilgisayarınıza gelen dosya ve e-mail'leri değil, sizin dışarıya gönderdiğiniz dosya ve e-mail'leri kontrol ediyor. Bu şekilde sizin bilgisayarınız virüs kapsa bile başkalarına yaymanız mümkün olmuyor. Bu tarz bir mantığın yanında klasik virüs koruma programlarını da kullanarak şu anda dünyanın belası olan virüslerden kısa bir süre için kurtulabilirsiniz. Ancak henüz bu geliştirilen algoritmayı virüs koruma programlarına uygulayarak ürün haline getiren bir yazılım firması ortaya çıkmadı.

Belli ki virüs yazan elemanlar (ki belki de dünyanın en iyi yazılımcıları bu işle uğraşıyorlar) virüslerini dağıtmak için başka yollar keşfetmek zorunda kalabilirler. Çok uzun sürmez bence, ne dersiniz?

fazlamesai'ye soralım: Ev yapımı alarm sistemleri

butch

Çoğumuzun (özellikle İstanbul'da yaşayanların) gerek aylık servis, gerek tek ödemeyle edindiği alarm sistemlerini kullandığını tahmin ediyorum. Tam da doların başını alıp gittiği bu dönemde dövize endeksli sistemler için yaptığımız harcamanın bir AR-GE yatırımı olarak kullanılabileceği düşüncesiyle fazlamesai'ye sormaya karar verdim. Elimizde RaspberryPi, binbir çesit algılayıcı,...

Eşeği Kafese Sokmak

tongucyumruk

Tamam kabul ediyorum biraz saçma bir başlık oldu ama Türkçe yazınca böyle bir hal aldı. Aslında konuya uygun bir başlık. Konumuz Linux altındaki en popüler P2P dosya paylaşım programı mlDonkey'i chroot ortamında çalıştırarak sistemimizi güvenceye almak...