Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı

0
Yns_
Yns_
28 Temmuz 2007 , 1 dakika okuma süresi
Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.
Şu an için bildiğim kadarıyla genel bir yama yayımlanmadı, yayımlanana kadar bağlantılara tıklamadan önce dikkat etsek iyi olacak sanırım :)
Güvenlik
14
Linkedin Facebook Twitter Google plus

Görüşler

smacker
0
smacker
Bu sorunu ortadan kaldırmanın yolu 1991'de bulundu.
Yns_
0
Yns_
bu arada bugzilla'da resmi olmayan bir patch yayınlanmış durumda.
gnnaahh
0
gnnaahh
Kusura bakmayin tam geyik bir yorum yapacagim.
-ki ler bitisik daha hos!

Demekki acik kaynak kapali kaynaktan pekte ileri seviyede degilmis.
Demekki kaynak acik olunca guvenlik daha hizli saglaniyormus.
Demekki sorun ne zeka seviyesinde nede ahlaktaymis. Sorun populer olmaktaymis.

Guvenli olacaksaniz populer olmakyacaksin.

Guruh adamin uzagini yakinini bir yapar valla :P




pvc
0
pvc
Demek ki kapalı kaynak açık kaynaktan daha gerideymiş.
Demek ki kaynak kapalı olunca unoffical patch çıkarılamıyormuş.
Demek ki sorun ne iq seviyesinde nede cahillikteymiş. Sorun saçma sapan yazma hastalığıymış.

Güvenli olacaksanız açık kaynak kullanacaksınız.

Yoksa kasap önünde ciğer bekleyen kedi gibi yama beklersiniz.
anonim
0
anonim

http://secunia.com/product/12434/?task=advisories adresindeki "Unpatched 46% (6 of 13 Secunia advisories)" ibaresinden görüleceği üzere

Demek ki Firefox açık kaynağın nimetlerinden yararlanamamaktaymış.
pvc
0
pvc
Firefox'dan bahseden kim? Açık kaynak, kapalı kaynaga göre yamalanabilir özellige sahiptir diyoruz. Buda açık kaynagı diğerine göre 1 adım önde kılar.

Kodları kapalı bir programa istesen de yama çıkaramazsın ama ne oldugunu bildigin bir şeye yama yapılabilir.

Yoksa konumuz şu program o nimetlerden yararlanamıyormuş değil ki.

Böyle basit saptırmalarla çıkıyor polemikler zaten.
gnnaahh
0
gnnaahh
Sizi bir yerelere mudur yapsalar mudurseniz emekli yapsalarda biraz tatil yapsaniz.
everestk
0
everestk
Firefox 2.0.0.6 versiyonu çıktı.
Yapılan Değişiklikler :
Fixed in Firefox 2.0.0.6
MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows
pvc
0
pvc
Açık kaynak kapalı kaynaktan daha ileri seviyededir. Bunu biliyor musan? Çünkü açık kaynak için unoffical patch'ler çıkabilir. Birileri açığı önceden farkeder ve kapatabilir. Ama kapalı kaynak sözgelimi Micisoft, o zaman sadece onların vicdanına kalırsın... Yama çıksa diye dua edip çıkınca zevke gelir, Billy amcanın gözlük camlarını yalarsın.

Açık kaynak çok daha iyidir. En azından sorunların giderilmesi için M$ ve Billy amcayı beklemek zorunda kalmıyorsun...
rao
0
rao
şu ifade dikkatinizi çekmedi mi??

These examples are launched through the Firefox browser, but require the user to have Internet Explorer 7 installed on their machine

Problem firefox da ise IE 7 ne alaka??

Bende IE 7 yok,olmayacak ta,WinXP ile gelip kurulan IE 6.0.(bilmem kaç var) ve o linklere tıklayınca gmail bana oturum aç diyor başka bir şey de olmuyor.

pvc
0
pvc
O yazıyı nereden yapıştırdınız?
rao
0
rao
eğer benim yazdığım metin ise haberde adı geçen billy nin blog undan

http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

****NOTE****
diye belirtilmiş olan bölgedeki ilk cümle
Yns_
0
Yns_
Keşke Firefox geliştiricileri de senin gibi düşünseydi de, kapatmasalardı açığı..

En "geek" örnek olarak web tasarımcılarını gösterebilmek mümkün.

Zira, müşteriler firefox fanatiği ya da internet explorer düşmanı değil. Dolayısıyla bir site geliştirirken, yazdığınız her css/xhtml kodunu Internet Explorer/Firefox gibi favori tarayicilarda denemek zorundasiniz.

ve evet burada asil nokta ikisinin de yüklü olması, ve ikisinin de yüklü olduğunda bu açığın 'exploit' edilebilmesi...
rao
0
rao
sanırsam yanlış anlaşıldık, IE 7 yok sorun da yok manasında yazmadım bunun direkt olarak firefox'a mal edilmesi manasında yazmıştım.

neyse uzatmanın da bir manası yok.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Türkiye'de Elektronik İmza Sonunda Başlıyor
anonim
19 Temmuz 2005, 1 dakika okuma süresi

Türkiye'de ıslak imza ile aynı hukuki sonuçları doğuracak elektronik imza (e-imza) dağıtımı başlıyor.

Türkiye'de e-devlet uygulamalarının gelişmesini sağlayacak olan elektronik imzada (e-imza) geri sayım başladı. Sektörde faaliyet göstermek üzere Telekomünikasyon Kurumu’na başvuran 3 firmadan biri olan Türktrust, istenilen şartları karşılayarak kurumdan yetki belgesi aldı.

Kaynak: http://www.hurriyetim.com.tr

PGP Yeniden Open Source oluyor mu ?
sundance
4 Temmuz 2002, 1 dakika okuma süresi

Newsforge`da yayınlanan habere göre PGP`nin yazarı Zimmerman, 1997 yılında PGP`i sattığı Networ Associates şirketine, PGP`i Open Source yapmaları ya da kendisine geri satmaları isteğiyle başvurmuş.

Zimmerman`ın isteğinin temel sebebi, önce Nasdaq Kasım 2000 krizi ile, sonra da 11 Eylul 2001 krizi ile vurulan Silicon Vadisi`nin girdiği kriz, ve dolayısıyla Network Associates`in PGP konusunda sürdürülebilir bir model ortaya koyamaması ve son olarak da PGP konusunda çalışan bütün mühendislerinin işine son vermesi.

Zimmerman`ın önerdiği modeller OpenSource ve şirket yapısının nasıl biraraya getirileceği konusunda ilginç açılımlar içeriyor...

512 Byte'lık Güvenlik Koduna 3 Tane Bug Nasıl Sığdırılır?
darkhunter
30 Kasım 2005, 1 dakika okuma süresi

Microsoft'un oyun platformu xbox'ın, boot sırasında çağırdığı 512 Byte'lık güvenlik kodunda 3 adet bug tespit edilmiş...

512 Byte'lık koda 3 adet bug sığdırmayı başaran Microsoft'u kutluyor, başarılarının devamını diliyorum...

Not: FM Forum'da konuyu gündeme getiren "abc"ye teşekkürler.

Eşeği Kafese Sokmak
tongucyumruk
9 Ocak 2003, 6 dakika okuma süresi

Tamam kabul ediyorum biraz saçma bir başlık oldu ama Türkçe yazınca böyle bir hal aldı. Aslında konuya uygun bir başlık. Konumuz Linux altındaki en popüler P2P dosya paylaşım programı mlDonkey'i chroot ortamında çalıştırarak sistemimizi güvenceye almak...

Güvenlik... Nereye Kadar?
FZ
5 Eylül 2003, 1 dakika okuma süresi

Bilgisayar güvenlik uzmanları son algoritmaları, 2048 bitlik şifreleme yöntemlerini, vs. kıran kırana tartışa dursun, uzakta, güneyde bir yerde....

Tarih 27 Ağustos 2003. Yer: Avustralya, Uluslararası Sydney Havaalanı. Kendilerini bilgisayar teknisyeni olarak tanıtan iki adam kargo ve istihbarat bölümünün bilgi işlem departmanına ellerini kolların sallaya sallaya giriyorlar, 2 kocaman Mainframe´i söktükten sonra tekerlekli arabalar üzerine yükleyip binadan dışarı çıkarıyorlar. Adamlardan bir daha haber alınamıyor...
Haberin tamamı