Mozilla´da dev güvenlik açığı!

0
tongucyumruk
Severek kullandığımız ailemizin browser'ı Mozilla'nın 0.9.7 sürümünden başlayıp 1.0rc1'e kadar gelen tüm versiyonlarında dev bir güvenlik açığı keşfedildi. Bu açığı kullanarak kötü niyetli webmasterlar mozillayı o sırada çalıştıran kullanıcının erişebildeği bütün dosyalara (/etc/passwd gibi) erişebiliyorlar.
Sisteminizde bu açığın bulunup bulunmadığını http://sec.greymagic.com/adv/gm001-ns/ adresinden kontrol edebilirsiniz (dosya adı kısmına varolan bir dosya adı yazın) Bu açık şu an itibariyle kapatılmış ve tüm source tree düzgün olarak patchlenmiş durumda. Tüm sürümlerin patchlenmiş hali bugün itibariyle yayınlanmaya başlanacak. Açıkçası açık kaynak kodlu bir yazılımda bu kadar büyük bir güvenlik açığının bu kadar uzun süre farkedilmeden kalmış olması inanılmaz. Herhalde Mozilla kaynak kodunu yazanlardan başka kimse incelemeye cesaret edemiyor.

Görüşler

0
anonim
> Herhalde Mozilla kaynak kodunu yazanlardan başka kimse incelemeye cesaret edemiyor.

Biraz yaygınlaşınca inceleyeceklerdir..

Açığın büyük olduğuna şüphe yok ama root olarak kullanmazsanız öyle password lerin çalınması falan mümkün değil. Ancak elbette ki kişisel bilgilerinizin dokunulmazlığına karşı önemli bir tehdit..
0
anonim
Linkten:
On 15 Dec 2001 Jelmer published an advisory titled MSIE6 can read local files,
which demonstrated how Microsoft''s XMLHTTP component allows reading of local files by blindly following server-side redirections
(patched by MS02-008)....It appears that Mozilla''s version of XMLHTTP, the XMLHttpRequest object, is vulnerable to the exact same attack.

MS IE6''da da varmış aynı hata. Mozilla hala 2-1 önde =)
0
elrond
Hayır. 2-2 MS patchlemiş durumda :-))
0
FZ
Haklısın. Bildiğim kadarı ile MS Explorer ile ilgili söz konusu açık geçen ay tespit edilmiş (belki de daha önce) ve gene geçen ay konu ile ilgili patch çıkarılmıştı.
0
anonim
Explorer'larda 1o kadar acik, hala yamanmamis olarak duruyor. Belki bunlarin bir kismi, bir ust versiyonunda duzeldi ama, genede acik aciktir..
0
cartman
http://jscript.dk/unpatched/ 14 olcak o =) Ho ho ho!
0
anonim
hazir su guvenlik konusu acilmisken bir sey sormak istiyorum bir newbie olarak
acaba sistemdeki onemli dosylar nedir ve bunlarin izni ne olmalidir?
yardimci olursaniz cok sevinirim...
0
anonim
Ben de bir newbie olarak diyebilirim ki, eğer güvenlik çok önemliyse default olarak güvenli gelen OpenBSD gibi bir sistem kullanmak iyi bir fikir olabilir. Bunun dışında, dosyalara mümkün olan en az hakları tanımak ve zorunlu kalmadıkça asla root hakları ile sistemi kullanmamak (ayrıca mesela binaryleri setuid yapmamak) temel prensipler. Daha ayrıntılı bilgiyi http://www.tldp.org veya http://www.linuxsecurity.com gibi sitelerdeki dokümanlardan edinebilirsin.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Firefox Klavye Tabanlı Gezinti Sistemini Deniyor

darkhunter

Firefox geliştirme ekibi sayfalarda yer alan adresler üzerinde gezinmek için yeni bir sistem tasarlamaya başlamış. Benzer bir sistem Opera 8 ile kullanılmaya başlamış durumda. Kullanılan sistem, televizyon için kullanılması düşünülmüş bir uygulamayı esas alıyor.

Mozilla Firefox 0.9 Çıktı

Challenger

Mozilla Firefox'un 0.9 sürümü duyuruldu. Firefox'un bu sürümü yeni bir tema ve SmartUpdate ile birlikte geliyor. SmartUpdate, FireFox'un yeni sürümlerini kontrol ederek tarayıcınızın güncel kalmasını sağlıyor. Ayrıca Windows kullanıcıları için sadece 4.7 mb' lık bir kurulum programı var. Hata düzeltmeleri de içeren Firefox 0.9, önceki sürümü olan 0.8'e oranla %8 daha hızlı. Bu arada Mozilla 1.7'nin de haftaya duyurulması bekleniyor.

Mozilla Projesinde Radikal Değişim: Phoenix

Maverick

http://www.mozilla.org/roadmap.html ve http://mozillazine.org/talkback.html?article=3042 adreslerinde görülebileceği gibi Mozilla projesi Mail ve Browser bileşenlerini değiştirmek istiyor.

1.4 son klasik sürüm olacak ve stable 1.0.x serisinin yerini alacak. Ayrıca liderlik şekli değişip daha etkili modül sorumluları atanacak. Phoenix'e neler oluyor diyenler bunu beklemiyorladı sanırım ;^) (Tarihin 2 Nisan olduğunu hatırlatayım, bu bir şakaya benzemiyor) Bu haberle hız olarak slashdot'ı da geçmiş olduk bu arada...

Mozilla XUL İle Uzaktan Erişilebilen Uygulama Geliştirme

FZ

Mozilla ile uygulama geliştirmeyi zül addetmeyip XUL iyidir güzeldir ama şöyle sağlam bir iki örnek olsa makale tadında diyenler için: Remote Application Development With Mozilla - 1 ve Remote Application Development With Mozilla 2.

Örnek makalelerde uzaktan Mozilla ile erişebileceğiniz bir Mozilla Amazon Browser uygulaması geliştirilmesi adım adım anlatılıyor.

Ve firefox New York Times'da...

conan

Mozilla Firefox onbin kadar kişinin maddi desteği ile ABD'nin en çok okunan gazetelerinden olan New York Times'a (NYT) iki tam sayfa ilan verdi. Ilanda maddi destekte bulunan bu kişilerin hepsinin ismini bulmanız mumkun. İsterseniz ilanın poster şeklini bu adresten satın almanız mümkün. Ya da, Mozilla geliştiricilerinin daha önce söz verdiği sekilde, ilanın kendisini bu PDF dosyasindan da edinebilirsiniz.

Not: Ben de bugün bir NYT alip resmini çekip bir yerlerde yayınlarım sanırım.