JEdit ActiveX Nesnesi Veri İfşa Açığı

0
anonim
Türkiye'deki bir çok bankanın kullanıcılarını tuş kaydedici (keylogger) ve truva atlarına karşı korumak için hizmete sunduğu JEdit objesinde veri ifşa açığı bulundu. Bu açık kullanılarak kurumsal ağların güvenlik yapılarını aşmak için önemli bilgilere erişilebiliyor.
Çeşitli bankalar JEdit objesinin farklı isimlerdeki farklı Build'lerini kullanıcılarının güvenliğini arttırmak amacıyla dağıtmakta ve bu objeyi yüklemeleri tavsiyesinde bulunmaktadır.

Söz konusu obje, bir takım parametreler ile manipüle edilerek internet üzerinden kullanıcıların:
  • Makina ismi
  • Log-in olan kullanıcı ismi
  • Ethernet MAC Adresi
  • Ethernet'e tanımlanmış (Internal) IP Adresi
  • Ethernet'e tanımlanmış (Internal) Gateway Adresi
  • Harddisk Seri numarası

bilgilerini ifşa etmektedir.

Bu açıktan etkilendiği tespit edilen yazılımlar:
  • Garanti Bankası / Güvenlik Kalkanı
  • Anadolufinans Kurumu / Anadolu Hisarı
  • İş Bankası / Güvenlik Çemberi
  • Turkishbank / E-Guard

Durumu test etmek ve açığı kullanan JavaScript programını görmek için http://www.srlabs.net/bulten/source/Jaguar.htm adresini kullanabilirsiniz.

İlgili Yazılar

Kim? Ne zaman? Kiminle? Nerede?

tongucyumruk

Geçenlerde Avea hatlı telefonuma Avea'dan bir mesaj geldi.

KimNerede? servisiyle aklin sevdiklerinde kalmasin! Sevdiklerinin nerede oldugunu ogrenmek icin bir SMS yeter.

Evet, artik sadece kendimizin degil, kimin, ne zaman, nerde oldugunu ogrenebilecegiz. Harika degil mi?

AnkaSEC ’10 Bilgi Güvenliği Konferansı Aktif Katılım Çağrısı

honal

Ülkemizde gerçekleştirilen bilgi/bilişim güvenliği çalışmalarına katkı olmak amacıyla her yıl düzenli olarak gerçekleştirilen Ankara’ya özel bilgi güvenliği etkinliği AnkaSEC konferansı bu yıl 23 Aralık 2010 tarihinde Ankara TÜBİTAK Başkanlık binasında gerçekleştirilecektir.

Konferans kayıt olan herkese açık ve ücretsizdir.

OpenBSD 3.5 pf firewall sistemi geliştiricileri ile söyleşi

FZ

Aralarında Can Erkin Acar´ın da bulunduğu OpenBSD pf firewall güvenlik sistemi geliştiricileri ile yapılmış O´Reilly söyleşisinin 2. bölümünü burada okuyabilirsiniz.

Söz konusu söyleşi OpenBSD 3.5 çıkışına dikkatleri çekmek ve güvenlik konusunda hassasiyetleri ile bilinen geliştirici ekibinin ortaya koyduğu ``pf´´ (packet filter) firewall sistemini daha iyi tanıtmak amacı ile yapılmış.

Bir efsane: Phrack

sundance

Hatırlıyorum da ilk Phrack Magazine'i okuduğumda Amiga kulanıyordum. Elemanın teki BlueBox kullanarak yabancı bir BBS`ten indirmişti (Jason of Bronx) Okudum ve bayıldım.

Phrack taaa 1985`te başlamış, temel olarak telefon sistemlerinin özelliklerini keşfetmeyi ve bu bilgileri paylaşmayı hedef edinmiş bir underground dergi. Sadece dijital ortamda dağıtılıyor, taa 1985'te akustik kuplör kullanan (300 bps) BBS`lerden beri...

Bayrağı yakalamaya çalışanları yakalayın!

conan

Her sene DEF CON dünyanın en büyük "hacking party"sini düzenliyor. Capture the flag ismi verilen bu partiye dünyanın dört bir yanından hackerlar katılıyor. Göreviniz 72 saat içerisinde bir sisteme girebilmek!

İşte bu kargaşada da The Shmoo Group da oluşan bütün trafiği loglamış ve de online olarak internet ortamına sunmuş. 5.8 GB'lik herhalde dunyanın en büyük IDS testinin sonucunu indirmek isteyenlere kolay gelsin! :)))

Not: ben baktığımda site sanırım slashdot etkisinden down olmuştu ;) Yine de referans olarak linkleri vereyim dedim.