Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı

Yns_
28 Temmuz 2007 , 1 dakika okuma süresi

Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.

Şu an için bildiğim kadarıyla genel bir yama yayımlanmadı, yayımlanana kadar bağlantılara tıklamadan önce dikkat etsek iyi olacak sanırım :)

Güvenlik

Görüşler

smacker
yaklaşık 18 yıl önce

Bu sorunu ortadan kaldırmanın yolu 1991'de bulundu.

Yns_
yaklaşık 18 yıl önce

bu arada bugzilla'da resmi olmayan bir patch yayınlanmış durumda.

gnnaahh
yaklaşık 18 yıl önce

Kusura bakmayin tam geyik bir yorum yapacagim.
-ki ler bitisik daha hos!

Demekki acik kaynak kapali kaynaktan pekte ileri seviyede degilmis.
Demekki kaynak acik olunca guvenlik daha hizli saglaniyormus.
Demekki sorun ne zeka seviyesinde nede ahlaktaymis. Sorun populer olmaktaymis.

Guvenli olacaksaniz populer olmakyacaksin.

Guruh adamin uzagini yakinini bir yapar valla :P

pvc
yaklaşık 18 yıl önce

Demek ki kapalı kaynak açık kaynaktan daha gerideymiş.
Demek ki kaynak kapalı olunca unoffical patch çıkarılamıyormuş.
Demek ki sorun ne iq seviyesinde nede cahillikteymiş. Sorun saçma sapan yazma hastalığıymış.

Güvenli olacaksanız açık kaynak kullanacaksınız.

Yoksa kasap önünde ciğer bekleyen kedi gibi yama beklersiniz.

anonim
yaklaşık 18 yıl önce

http://secunia.com/product/12434/?task=advisories adresindeki "Unpatched 46% (6 of 13 Secunia advisories)" ibaresinden görüleceği üzere

Demek ki Firefox açık kaynağın nimetlerinden yararlanamamaktaymış.

pvc
yaklaşık 18 yıl önce

Firefox'dan bahseden kim? Açık kaynak, kapalı kaynaga göre yamalanabilir özellige sahiptir diyoruz. Buda açık kaynagı diğerine göre 1 adım önde kılar.

Kodları kapalı bir programa istesen de yama çıkaramazsın ama ne oldugunu bildigin bir şeye yama yapılabilir.

Yoksa konumuz şu program o nimetlerden yararlanamıyormuş değil ki.

Böyle basit saptırmalarla çıkıyor polemikler zaten.

gnnaahh
yaklaşık 18 yıl önce

Sizi bir yerelere mudur yapsalar mudurseniz emekli yapsalarda biraz tatil yapsaniz.

everestk
yaklaşık 18 yıl önce

Firefox 2.0.0.6 versiyonu çıktı.
Yapılan Değişiklikler :
Fixed in Firefox 2.0.0.6
MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows

pvc
yaklaşık 18 yıl önce

Açık kaynak kapalı kaynaktan daha ileri seviyededir. Bunu biliyor musan? Çünkü açık kaynak için unoffical patch'ler çıkabilir. Birileri açığı önceden farkeder ve kapatabilir. Ama kapalı kaynak sözgelimi Micisoft, o zaman sadece onların vicdanına kalırsın... Yama çıksa diye dua edip çıkınca zevke gelir, Billy amcanın gözlük camlarını yalarsın.

Açık kaynak çok daha iyidir. En azından sorunların giderilmesi için M$ ve Billy amcayı beklemek zorunda kalmıyorsun...

rao
yaklaşık 18 yıl önce

şu ifade dikkatinizi çekmedi mi??

These examples are launched through the Firefox browser, but require the user to have Internet Explorer 7 installed on their machine

Problem firefox da ise IE 7 ne alaka??

Bende IE 7 yok,olmayacak ta,WinXP ile gelip kurulan IE 6.0.(bilmem kaç var) ve o linklere tıklayınca gmail bana oturum aç diyor başka bir şey de olmuyor.

pvc
yaklaşık 18 yıl önce

O yazıyı nereden yapıştırdınız?

rao
yaklaşık 18 yıl önce

eğer benim yazdığım metin ise haberde adı geçen billy nin blog undan

http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

****NOTE****
diye belirtilmiş olan bölgedeki ilk cümle

Yns_
yaklaşık 18 yıl önce

Keşke Firefox geliştiricileri de senin gibi düşünseydi de, kapatmasalardı açığı..

En "geek" örnek olarak web tasarımcılarını gösterebilmek mümkün.

Zira, müşteriler firefox fanatiği ya da internet explorer düşmanı değil. Dolayısıyla bir site geliştirirken, yazdığınız her css/xhtml kodunu Internet Explorer/Firefox gibi favori tarayicilarda denemek zorundasiniz.

ve evet burada asil nokta ikisinin de yüklü olması, ve ikisinin de yüklü olduğunda bu açığın 'exploit' edilebilmesi...

rao
yaklaşık 18 yıl önce

sanırsam yanlış anlaşıldık, IE 7 yok sorun da yok manasında yazmadım bunun direkt olarak firefox'a mal edilmesi manasında yazmıştım.

neyse uzatmanın da bir manası yok.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

WhatsApp, Signal, BlackBerry Messenger ve Diğerleri: Hangisini Kullanmalı? Neden? #1

Zakkum
2 Mart 2017, 17 dakika okuma süresi

İnternetin her geçen gün daha fazla hayatımızın içine girmesi güvenlik konusunu daha sık ve geniş ölçekte tartışılır hale getirdi. Özellikle son yıllarda internet üzerinden gerçekleşen ifşa hareketleri (Wikileaks, Snowden, Panama Belgeleri vs.) konuyu haliyle daha da alevlendirdi. Bugün artık herhangi bir şüpheye yer bırakmadan biliyoruz ki kullandığımız internet artık bir kitlesel gözetleme...

Solaris Sistemlerde Ciddi Güvenlik Açığı

FZ
13 Şubat 2007, 2 dakika okuma süresi

Dün yayınlanan ve sadece Sun Solaris 10, Solaris 11 işletim sistemlerini etkileyen güvenlik açığı telnet servisine herhangi bir sistem kullanıcısının parolasız bağlanabilmesini sağlıyor. Eğer root kullanıcısının telnet erişim yetkisi varsa bu, parolayı bilmeden sisteme tam yetkili erişilmesi manasına geliyor. Benzer bir açık 1994 yılında bazı UNIX sistemlerinde de görülmüştü.

Güvenlik açığını nasıl test edersiniz?

Bir ICQ hackerı ile röportaj

sundance
25 Aralık 2001, 9 dakika okuma süresi

Hep merak etmişimdir, neden ICQ numaraları çalınır, insanlar bunu niye yapar vs. diye.

Hayal meyal hatırlıyorum Robin`in ICQ numarasının çalınmış olduğunu, bugün de onu online görünce, hemen `naber` dedim, gelen cevap ilginçti

`Ben sandığın kişi değilim onun ICQ`sunu hackledim`

Bunun üstüne de çok ilginç bir sohbet başladı... Siz hiç altı haneli bir ICQ numarasının $200 gibi paralara satılabildiğini biliyor muydunuz ? Ben bilmiyordum :) (Ed: 31/12/2001 itibariyle Robin ICQ numarasını geri almış bulunmakta :)

MS Windows İçin Açık Kodlu Antivirüs Yazılımı - ClamWin

ebola
28 Ağustos 2004, 1 dakika okuma süresi

Siz de benim gibi bir işyerinde istemeyerek de olsa MS Windows sistem yöneticiliği yapıyorsanız eminim virusler en önemli sorunlarınızdandır. İşyeriniz her sene "kapalı kodlu" yazılımlara dünyanın parasını saymaktadır.

Pek çok şeyin bir açık kodlu çözümü var ama bu antivirüs meselesinin yok diyorsanız yanılıyorsunuz. Eski dost ClamAV'nin MS Windows sürümü var. Adı ClamWin. Ben test amacı ile bir iki makineye kurdum ilk izlenimlerim olumlu, size de tavsiye ediyorum.

Akustik Şifre Analizi: Mikroişlemcinizin Çıkardığı Sesler ve Potansiyel Saldırı

FZ
13 Mayıs 2004, 1 dakika okuma süresi

Bilgisayarınızın kalbini dinlemeyi denediniz mi? Acaba GnuPG ile bir şeyleri şifrelerken çıkan ``sesler´´ olası bir saldırgana bazı ipuçları verir mi? Mikroişlemciyi dinlemek mi!? O da ne! diyenlerden misiniz?

O halde Adi Shamir ve Eran Tromer´in Acoustic Cryptanalysis başlıklı bu ilginç çalışması ufkunuzu genişletebilir.