Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı

0
Yns_
Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.
Şu an için bildiğim kadarıyla genel bir yama yayımlanmadı, yayımlanana kadar bağlantılara tıklamadan önce dikkat etsek iyi olacak sanırım :)

Görüşler

0
smacker
Bu sorunu ortadan kaldırmanın yolu 1991'de bulundu.
0
Yns_
bu arada bugzilla'da resmi olmayan bir patch yayınlanmış durumda.
0
gnnaahh
Kusura bakmayin tam geyik bir yorum yapacagim.
-ki ler bitisik daha hos!

Demekki acik kaynak kapali kaynaktan pekte ileri seviyede degilmis.
Demekki kaynak acik olunca guvenlik daha hizli saglaniyormus.
Demekki sorun ne zeka seviyesinde nede ahlaktaymis. Sorun populer olmaktaymis.

Guvenli olacaksaniz populer olmakyacaksin.

Guruh adamin uzagini yakinini bir yapar valla :P




0
pvc
Demek ki kapalı kaynak açık kaynaktan daha gerideymiş.
Demek ki kaynak kapalı olunca unoffical patch çıkarılamıyormuş.
Demek ki sorun ne iq seviyesinde nede cahillikteymiş. Sorun saçma sapan yazma hastalığıymış.

Güvenli olacaksanız açık kaynak kullanacaksınız.

Yoksa kasap önünde ciğer bekleyen kedi gibi yama beklersiniz.
0
anonim

http://secunia.com/product/12434/?task=advisories adresindeki "Unpatched 46% (6 of 13 Secunia advisories)" ibaresinden görüleceği üzere

Demek ki Firefox açık kaynağın nimetlerinden yararlanamamaktaymış.
0
pvc
Firefox'dan bahseden kim? Açık kaynak, kapalı kaynaga göre yamalanabilir özellige sahiptir diyoruz. Buda açık kaynagı diğerine göre 1 adım önde kılar.

Kodları kapalı bir programa istesen de yama çıkaramazsın ama ne oldugunu bildigin bir şeye yama yapılabilir.

Yoksa konumuz şu program o nimetlerden yararlanamıyormuş değil ki.

Böyle basit saptırmalarla çıkıyor polemikler zaten.
0
gnnaahh
Sizi bir yerelere mudur yapsalar mudurseniz emekli yapsalarda biraz tatil yapsaniz.
0
everestk
Firefox 2.0.0.6 versiyonu çıktı.
Yapılan Değişiklikler :
Fixed in Firefox 2.0.0.6
MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows
0
pvc
Açık kaynak kapalı kaynaktan daha ileri seviyededir. Bunu biliyor musan? Çünkü açık kaynak için unoffical patch'ler çıkabilir. Birileri açığı önceden farkeder ve kapatabilir. Ama kapalı kaynak sözgelimi Micisoft, o zaman sadece onların vicdanına kalırsın... Yama çıksa diye dua edip çıkınca zevke gelir, Billy amcanın gözlük camlarını yalarsın.

Açık kaynak çok daha iyidir. En azından sorunların giderilmesi için M$ ve Billy amcayı beklemek zorunda kalmıyorsun...
0
rao
şu ifade dikkatinizi çekmedi mi??

These examples are launched through the Firefox browser, but require the user to have Internet Explorer 7 installed on their machine

Problem firefox da ise IE 7 ne alaka??

Bende IE 7 yok,olmayacak ta,WinXP ile gelip kurulan IE 6.0.(bilmem kaç var) ve o linklere tıklayınca gmail bana oturum aç diyor başka bir şey de olmuyor.

0
pvc
O yazıyı nereden yapıştırdınız?
0
rao
eğer benim yazdığım metin ise haberde adı geçen billy nin blog undan

http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

****NOTE****
diye belirtilmiş olan bölgedeki ilk cümle
0
Yns_
Keşke Firefox geliştiricileri de senin gibi düşünseydi de, kapatmasalardı açığı..

En "geek" örnek olarak web tasarımcılarını gösterebilmek mümkün.

Zira, müşteriler firefox fanatiği ya da internet explorer düşmanı değil. Dolayısıyla bir site geliştirirken, yazdığınız her css/xhtml kodunu Internet Explorer/Firefox gibi favori tarayicilarda denemek zorundasiniz.

ve evet burada asil nokta ikisinin de yüklü olması, ve ikisinin de yüklü olduğunda bu açığın 'exploit' edilebilmesi...
0
rao
sanırsam yanlış anlaşıldık, IE 7 yok sorun da yok manasında yazmadım bunun direkt olarak firefox'a mal edilmesi manasında yazmıştım.

neyse uzatmanın da bir manası yok.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

WhatsApp, Signal, BlackBerry Messenger ve Diğerleri: Hangisini Kullanmalı? Neden? #1

Zakkum

İnternetin her geçen gün daha fazla hayatımızın içine girmesi güvenlik konusunu daha sık ve geniş ölçekte tartışılır hale getirdi. Özellikle son yıllarda internet üzerinden gerçekleşen ifşa hareketleri (Wikileaks, Snowden, Panama Belgeleri vs.) konuyu haliyle daha da alevlendirdi. Bugün artık herhangi bir şüpheye yer bırakmadan biliyoruz ki kullandığımız internet artık bir kitlesel gözetleme...

Solaris Sistemlerde Ciddi Güvenlik Açığı

FZ

Dün yayınlanan ve sadece Sun Solaris 10, Solaris 11 işletim sistemlerini etkileyen güvenlik açığı telnet servisine herhangi bir sistem kullanıcısının parolasız bağlanabilmesini sağlıyor. Eğer root kullanıcısının telnet erişim yetkisi varsa bu, parolayı bilmeden sisteme tam yetkili erişilmesi manasına geliyor. Benzer bir açık 1994 yılında bazı UNIX sistemlerinde de görülmüştü.

Güvenlik açığını nasıl test edersiniz?

Bir ICQ hackerı ile röportaj

sundance

Hep merak etmişimdir, neden ICQ numaraları çalınır, insanlar bunu niye yapar vs. diye.

Hayal meyal hatırlıyorum Robin`in ICQ numarasının çalınmış olduğunu, bugün de onu online görünce, hemen `naber` dedim, gelen cevap ilginçti

`Ben sandığın kişi değilim onun ICQ`sunu hackledim`

Bunun üstüne de çok ilginç bir sohbet başladı... Siz hiç altı haneli bir ICQ numarasının $200 gibi paralara satılabildiğini biliyor muydunuz ? Ben bilmiyordum :) (Ed: 31/12/2001 itibariyle Robin ICQ numarasını geri almış bulunmakta :)

MS Windows İçin Açık Kodlu Antivirüs Yazılımı - ClamWin

ebola

Siz de benim gibi bir işyerinde istemeyerek de olsa MS Windows sistem yöneticiliği yapıyorsanız eminim virusler en önemli sorunlarınızdandır. İşyeriniz her sene "kapalı kodlu" yazılımlara dünyanın parasını saymaktadır.

Pek çok şeyin bir açık kodlu çözümü var ama bu antivirüs meselesinin yok diyorsanız yanılıyorsunuz. Eski dost ClamAV'nin MS Windows sürümü var. Adı ClamWin. Ben test amacı ile bir iki makineye kurdum ilk izlenimlerim olumlu, size de tavsiye ediyorum.

Akustik Şifre Analizi: Mikroişlemcinizin Çıkardığı Sesler ve Potansiyel Saldırı

FZ

Bilgisayarınızın kalbini dinlemeyi denediniz mi? Acaba GnuPG ile bir şeyleri şifrelerken çıkan ``sesler´´ olası bir saldırgana bazı ipuçları verir mi? Mikroişlemciyi dinlemek mi!? O da ne! diyenlerden misiniz?

O halde Adi Shamir ve Eran Tromer´in Acoustic Cryptanalysis başlıklı bu ilginç çalışması ufkunuzu genişletebilir.