Firefox 2.0.0.5 için kritik uzaktan kod çalıştırma açığı

0
Yns_
Firefox'un yeni çıkan sürümünde ciddi bir açık bulundu, billy'nin bloğundan örnekleri görmek mümkün.

Açık, dinamik sitelerdeki link verme kodlarını da etkiliyebiliyor, regex'i iyi yazılmamış herhangi bir URL bbcode'u ile veya "A" etiketine izin veren herhangi bir sistemde rahatlıkla sömürülebiliyor.
Şu an için bildiğim kadarıyla genel bir yama yayımlanmadı, yayımlanana kadar bağlantılara tıklamadan önce dikkat etsek iyi olacak sanırım :)

Görüşler

0
smacker
Bu sorunu ortadan kaldırmanın yolu 1991'de bulundu.
0
Yns_
bu arada bugzilla'da resmi olmayan bir patch yayınlanmış durumda.
0
gnnaahh
Kusura bakmayin tam geyik bir yorum yapacagim.
-ki ler bitisik daha hos!

Demekki acik kaynak kapali kaynaktan pekte ileri seviyede degilmis.
Demekki kaynak acik olunca guvenlik daha hizli saglaniyormus.
Demekki sorun ne zeka seviyesinde nede ahlaktaymis. Sorun populer olmaktaymis.

Guvenli olacaksaniz populer olmakyacaksin.

Guruh adamin uzagini yakinini bir yapar valla :P




0
pvc
Demek ki kapalı kaynak açık kaynaktan daha gerideymiş.
Demek ki kaynak kapalı olunca unoffical patch çıkarılamıyormuş.
Demek ki sorun ne iq seviyesinde nede cahillikteymiş. Sorun saçma sapan yazma hastalığıymış.

Güvenli olacaksanız açık kaynak kullanacaksınız.

Yoksa kasap önünde ciğer bekleyen kedi gibi yama beklersiniz.
0
anonim

http://secunia.com/product/12434/?task=advisories adresindeki "Unpatched 46% (6 of 13 Secunia advisories)" ibaresinden görüleceği üzere

Demek ki Firefox açık kaynağın nimetlerinden yararlanamamaktaymış.
0
pvc
Firefox'dan bahseden kim? Açık kaynak, kapalı kaynaga göre yamalanabilir özellige sahiptir diyoruz. Buda açık kaynagı diğerine göre 1 adım önde kılar.

Kodları kapalı bir programa istesen de yama çıkaramazsın ama ne oldugunu bildigin bir şeye yama yapılabilir.

Yoksa konumuz şu program o nimetlerden yararlanamıyormuş değil ki.

Böyle basit saptırmalarla çıkıyor polemikler zaten.
0
gnnaahh
Sizi bir yerelere mudur yapsalar mudurseniz emekli yapsalarda biraz tatil yapsaniz.
0
everestk
Firefox 2.0.0.6 versiyonu çıktı.
Yapılan Değişiklikler :
Fixed in Firefox 2.0.0.6
MFSA 2007-27 Unescaped URIs passed to external programs
MFSA 2007-26 Privilege escalation through chrome-loaded about:blank windows
0
pvc
Açık kaynak kapalı kaynaktan daha ileri seviyededir. Bunu biliyor musan? Çünkü açık kaynak için unoffical patch'ler çıkabilir. Birileri açığı önceden farkeder ve kapatabilir. Ama kapalı kaynak sözgelimi Micisoft, o zaman sadece onların vicdanına kalırsın... Yama çıksa diye dua edip çıkınca zevke gelir, Billy amcanın gözlük camlarını yalarsın.

Açık kaynak çok daha iyidir. En azından sorunların giderilmesi için M$ ve Billy amcayı beklemek zorunda kalmıyorsun...
0
rao
şu ifade dikkatinizi çekmedi mi??

These examples are launched through the Firefox browser, but require the user to have Internet Explorer 7 installed on their machine

Problem firefox da ise IE 7 ne alaka??

Bende IE 7 yok,olmayacak ta,WinXP ile gelip kurulan IE 6.0.(bilmem kaç var) ve o linklere tıklayınca gmail bana oturum aç diyor başka bir şey de olmuyor.

0
pvc
O yazıyı nereden yapıştırdınız?
0
rao
eğer benim yazdığım metin ise haberde adı geçen billy nin blog undan

http://xs-sniper.com/blog/remote-command-exec-firefox-2005/

****NOTE****
diye belirtilmiş olan bölgedeki ilk cümle
0
Yns_
Keşke Firefox geliştiricileri de senin gibi düşünseydi de, kapatmasalardı açığı..

En "geek" örnek olarak web tasarımcılarını gösterebilmek mümkün.

Zira, müşteriler firefox fanatiği ya da internet explorer düşmanı değil. Dolayısıyla bir site geliştirirken, yazdığınız her css/xhtml kodunu Internet Explorer/Firefox gibi favori tarayicilarda denemek zorundasiniz.

ve evet burada asil nokta ikisinin de yüklü olması, ve ikisinin de yüklü olduğunda bu açığın 'exploit' edilebilmesi...
0
rao
sanırsam yanlış anlaşıldık, IE 7 yok sorun da yok manasında yazmadım bunun direkt olarak firefox'a mal edilmesi manasında yazmıştım.

neyse uzatmanın da bir manası yok.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Yazılım Yalan Söyler Mi? Adobe Acrobat Reader Vakası

FZ

Language Blog isimli ve genellikle dilbilimcilerin yazdığı bir kolektif blog'da Adobe Acrobat Reader ile ilgili bir girdi dikkatimi çekti.

Yazara göre Acrobat Reader'in Preferences kısmına gelir ve JavaScript'i kaldırmaya çalışırsanız baktığınız belgede JavaScript kullanıldığına ve bu özellik kaldırılırsa düzgün görüntüleme yapılamayacağına dair bir uyarı geliyor. Blog girdisinin yazarı Acrobat Reader 6.0.3'ü Mac üzerinde kullanırken böyle bir deneme yaptığında benzer bir şeyle karşılaştığını ancak işin garibi söz konusu belgenin kendi hazırladığı ve LaTeX'ten PDF'ye dönüştürdüğü bir belge olduğunu dolayısı ile JavaScript filan içermediğini belirtiyor! Dolayısı ile programın yalan söylemesi söz konusu.

Belgelerde JavaScript kullanılmasının sebebi ise Remote Approach isimli bir şirketin PDF okunduğu zaman bunun okundu bilgisini Internet üzerinden başka bir yere iletecek bir sistem geliştirmiş olması. "Web bug"lardan sonra başımıza bir de bu çıktı ;-) Neyse ki Acrobat Reader'daki JavaScript uyarılara rağmen iptal edilebiliyor.

İçeriği yönetmek ya da nasıl adam susturulur?

sundance

SFgate.com'da yeralan bir göre habere göre Black Hat 2005'de yapılacak bir sunumu durdurmak için Cisco oldukça yoğun çaba harcamış.

Cisco IOS üzerindeki önemli bir açıkla ilgili sunum yapacak olan ISS çalışanı Michael Lynn, Cisco ve çalıştığı şirket tarafından bu sunumu yapmaması konusunda uyarıldı, akabinde Cisco'nun kiraladığı elemanlar binlerce konferans dosyasından yirmi sayfayı teker teker çıkartıp, konferans sunumlarıyla ilgili cdyi de değiştirdiler. Bunun üzerine Michael Lynn, ISS'den istifa edip, işsiz birisi olarak yine de sunumunu yaptı.

Microsoft Office Kullanıcıları, Dikkat!

FZ

W97M.Killboot virüsü Master Boot Record'a yazıyor.

Antivirüs firması Symantec, Microsoft Word kullanıcılarını hedefleyen yeni bir virüs konusunda kamuoyunu uyardı.

Söz konusu virüs bilgisayardaki harddisklerin Master Boot Record (MBR) bölümünü bozuyor (ve böylece de bilgisayarın açılmasını engelliyor).

W97M.Killboot olarak isimlendirilen virüs mevcut Word belgesine bulaştığı gibi bu belge kapatılır kapatılmaz Normal.dot isimli şablona da bulaşıyor. Yani kapatılan her belge virüsü taşımaya başlıyor.

Açık Sistemler ve Güvenlik - 3

FZ

"Sana söylemem gereken çok gizli bir şey var: 934FAB9234ASFDGER345ASDF" Anonim

Açık sistemlerde serbestçe kullanabileceğiniz şifreleme yazılımı GnuPG (Gnu Privacy Guard - gpg) isimli özgür güvenlik yazılımını temel alarak anlattığım yazı dizisinin 3. ve son bölümüne hoş geldiniz.

Bu bölüm en kısa ve az detay içeren bölüm ancak burada kısaca ele alacağım konuları ve yazılımları tam olarak kavrayabilmek için 1. ve 2. bölümleri okumuş olmanız gerekiyor.

Gizli Mesajınızı Spam Mail İçinde Saklayın!

ts

Şifreli yazışmak icin kullanilabilecek birçok yöntem bulunuyor. Bunların içinde en ilginci ise Spammimic adında bir sitede bulunuyor.

Bu sitede istenilen yazı bir spam mail'in içerisine gizleniyor ve Spammimic internet sitesinde çözülmediği takdirde gerçek mesaja ulaşılamıyor.

Editörün Notu: Eğlenceli bir yazılım, gramer steganografisi gibi görülebilir ancak ciddi olarak kullanılabilecek türden bir uygulamaya benzemiyor.