Mozilla´da dev güvenlik açığı!

0
tongucyumruk
Severek kullandığımız ailemizin browser'ı Mozilla'nın 0.9.7 sürümünden başlayıp 1.0rc1'e kadar gelen tüm versiyonlarında dev bir güvenlik açığı keşfedildi. Bu açığı kullanarak kötü niyetli webmasterlar mozillayı o sırada çalıştıran kullanıcının erişebildeği bütün dosyalara (/etc/passwd gibi) erişebiliyorlar.
Sisteminizde bu açığın bulunup bulunmadığını http://sec.greymagic.com/adv/gm001-ns/ adresinden kontrol edebilirsiniz (dosya adı kısmına varolan bir dosya adı yazın) Bu açık şu an itibariyle kapatılmış ve tüm source tree düzgün olarak patchlenmiş durumda. Tüm sürümlerin patchlenmiş hali bugün itibariyle yayınlanmaya başlanacak. Açıkçası açık kaynak kodlu bir yazılımda bu kadar büyük bir güvenlik açığının bu kadar uzun süre farkedilmeden kalmış olması inanılmaz. Herhalde Mozilla kaynak kodunu yazanlardan başka kimse incelemeye cesaret edemiyor.

Görüşler

0
anonim
> Herhalde Mozilla kaynak kodunu yazanlardan başka kimse incelemeye cesaret edemiyor.

Biraz yaygınlaşınca inceleyeceklerdir..

Açığın büyük olduğuna şüphe yok ama root olarak kullanmazsanız öyle password lerin çalınması falan mümkün değil. Ancak elbette ki kişisel bilgilerinizin dokunulmazlığına karşı önemli bir tehdit..
0
anonim
Linkten:
On 15 Dec 2001 Jelmer published an advisory titled MSIE6 can read local files,
which demonstrated how Microsoft''s XMLHTTP component allows reading of local files by blindly following server-side redirections
(patched by MS02-008)....It appears that Mozilla''s version of XMLHTTP, the XMLHttpRequest object, is vulnerable to the exact same attack.

MS IE6''da da varmış aynı hata. Mozilla hala 2-1 önde =)
0
elrond
Hayır. 2-2 MS patchlemiş durumda :-))
0
FZ
Haklısın. Bildiğim kadarı ile MS Explorer ile ilgili söz konusu açık geçen ay tespit edilmiş (belki de daha önce) ve gene geçen ay konu ile ilgili patch çıkarılmıştı.
0
anonim
Explorer'larda 1o kadar acik, hala yamanmamis olarak duruyor. Belki bunlarin bir kismi, bir ust versiyonunda duzeldi ama, genede acik aciktir..
0
cartman
http://jscript.dk/unpatched/ 14 olcak o =) Ho ho ho!
0
anonim
hazir su guvenlik konusu acilmisken bir sey sormak istiyorum bir newbie olarak
acaba sistemdeki onemli dosylar nedir ve bunlarin izni ne olmalidir?
yardimci olursaniz cok sevinirim...
0
anonim
Ben de bir newbie olarak diyebilirim ki, eğer güvenlik çok önemliyse default olarak güvenli gelen OpenBSD gibi bir sistem kullanmak iyi bir fikir olabilir. Bunun dışında, dosyalara mümkün olan en az hakları tanımak ve zorunlu kalmadıkça asla root hakları ile sistemi kullanmamak (ayrıca mesela binaryleri setuid yapmamak) temel prensipler. Daha ayrıntılı bilgiyi http://www.tldp.org veya http://www.linuxsecurity.com gibi sitelerdeki dokümanlardan edinebilirsin.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Mozilla Thunderbird

butch

Mozilla bölünerek çoğalmaya devam ediyor. Daha önce de Firebird projesi Mozilla'nın diğer yüklerinden arındırılıp hızlı, hafif ve amacına uygun bir tarayıcı olması amacıyla başlatılmıştı. Bu kez Mozilla'nın diyet sebebi bir mail istemcisi. Projenin adı Thunderbird. Amaçlar Firebird ile benzer. Bir deneyin derim. Ama uyarayım Mozilla'nın tamamı 11 MB'ken, Thunderbird 9 MB.

Türk basınındaki ilk Firefox ilanı!

velista

Focus dergisinin ocak ayında piyasaya çıkacak olan "10.Yıl Özel Sayısı"nda bir Firefox ilanı var! Aslında nereden başlamalı bilmiyorum... Çeşitli dergilerden gazeteci arkadaşlarımla uzun bir süredir şu konuyu konuşuyorduk: "Aslında birbirinden çok da farklı olmayan tanıtım ve inceleme yazıları dışında Firefox'a nasıl bir destek verebilirdik? Yayınlarımızda, küçük bile olsa Firefox'un ücretsiz ilanlarına yer veremez miyiz? Ve hepsinden önemlisi, Bilim ve Teknoloji dergileri, maddi olanakları çok kısıtlı olan açık yazılım dünyasına reklam sayfalarını sembolik bir oranda da olsa aralayarak 'fırsat eşitliği'nin ve 'gerçek rekabet ortamı'nın yaratılmasına olanak sağlayamaz mı?"

Sanırım bize bu düşünceyi ilk veren "Fazlamesai" sitesiydi... Fazlamesai forumunda başlayan Firefox ilanı tartışması, açık yazılıma inanan pek çok gazetecinin aynı soruyu kendisine sormasına neden oldu.

Mozilla 1.0 RC2 Çıktı

anonim

Mozilla'nın beklenen kararlı sürümüne yaklaşırken çıkan release candidate'lerden 2.'si de duyuruldu.
Şu meshur kullanıcı dosyalarına erişebilen xml açığı da dahil olmak üzere birçok hata ve bug giderilmiş.
Mozilla 1.0 RC2'nin sürüm notlarının (güncellemelerinin) tam listesine bu adresten ulaşabilirsiniz.
İndirmek için ise ister yansı listesini ister ana sunucuyu kullanabilirsiniz.

Davos Mozilla dedi

avukatahmetusta

Dünya Ekonomik Forumu 2007'nin teknoloji öncülerini açıkladı.

Bilgi teknolojisi dalında seçilenlerden birisi de Mozilla oldu.

Mozilla'nın CEO'su ve başkanı Mitchell Baker ile konu ile ilgili yapılan röpörtajı buradan okuyabilirsiniz.

Amiga Üzerinde Mozilla: AmiZilla!

anonim

Adını vermeyen eski bir Netscape yetkilisi son iki günde AmiZilla projesine yaklaşık 4200 dolar bağışta bulundu. Böylece AmiZilla projesinin büyük ödülü 8411.22 dolara yükseldi!

AmiZilla, Mozilla'nın Amiga'ya port edilmiş hali olacak. Mozilla'yı Amiga platformuna port eden ilk kişiye veya gruba yukarıda bahsedilen ödül verilecek.