Mozilla´da dev güvenlik açığı!

0
281817 181476855250691 6784756 n
tongucyumruk
7 Mayıs 2002 , 1 dakika okuma süresi
Severek kullandığımız ailemizin browser'ı Mozilla'nın 0.9.7 sürümünden başlayıp 1.0rc1'e kadar gelen tüm versiyonlarında dev bir güvenlik açığı keşfedildi. Bu açığı kullanarak kötü niyetli webmasterlar mozillayı o sırada çalıştıran kullanıcının erişebildeği bütün dosyalara (/etc/passwd gibi) erişebiliyorlar.
Sisteminizde bu açığın bulunup bulunmadığını http://sec.greymagic.com/adv/gm001-ns/ adresinden kontrol edebilirsiniz (dosya adı kısmına varolan bir dosya adı yazın) Bu açık şu an itibariyle kapatılmış ve tüm source tree düzgün olarak patchlenmiş durumda. Tüm sürümlerin patchlenmiş hali bugün itibariyle yayınlanmaya başlanacak. Açıkçası açık kaynak kodlu bir yazılımda bu kadar büyük bir güvenlik açığının bu kadar uzun süre farkedilmeden kalmış olması inanılmaz. Herhalde Mozilla kaynak kodunu yazanlardan başka kimse incelemeye cesaret edemiyor.
mozilla
8
Linkedin Facebook Twitter Google plus

Görüşler

anonim
0
anonim
> Herhalde Mozilla kaynak kodunu yazanlardan başka kimse incelemeye cesaret edemiyor.

Biraz yaygınlaşınca inceleyeceklerdir..

Açığın büyük olduğuna şüphe yok ama root olarak kullanmazsanız öyle password lerin çalınması falan mümkün değil. Ancak elbette ki kişisel bilgilerinizin dokunulmazlığına karşı önemli bir tehdit..
anonim
0
anonim
Linkten:
On 15 Dec 2001 Jelmer published an advisory titled MSIE6 can read local files,
which demonstrated how Microsoft''s XMLHTTP component allows reading of local files by blindly following server-side redirections
(patched by MS02-008)....It appears that Mozilla''s version of XMLHTTP, the XMLHttpRequest object, is vulnerable to the exact same attack.

MS IE6''da da varmış aynı hata. Mozilla hala 2-1 önde =)
elrond
0
elrond
Hayır. 2-2 MS patchlemiş durumda :-))
FZ
0
FZ
Haklısın. Bildiğim kadarı ile MS Explorer ile ilgili söz konusu açık geçen ay tespit edilmiş (belki de daha önce) ve gene geçen ay konu ile ilgili patch çıkarılmıştı.
anonim
0
anonim
Explorer'larda 1o kadar acik, hala yamanmamis olarak duruyor. Belki bunlarin bir kismi, bir ust versiyonunda duzeldi ama, genede acik aciktir..
cartman
0
cartman
http://jscript.dk/unpatched/ 14 olcak o =) Ho ho ho!
anonim
0
anonim
hazir su guvenlik konusu acilmisken bir sey sormak istiyorum bir newbie olarak
acaba sistemdeki onemli dosylar nedir ve bunlarin izni ne olmalidir?
yardimci olursaniz cok sevinirim...
anonim
0
anonim
Ben de bir newbie olarak diyebilirim ki, eğer güvenlik çok önemliyse default olarak güvenli gelen OpenBSD gibi bir sistem kullanmak iyi bir fikir olabilir. Bunun dışında, dosyalara mümkün olan en az hakları tanımak ve zorunlu kalmadıkça asla root hakları ile sistemi kullanmamak (ayrıca mesela binaryleri setuid yapmamak) temel prensipler. Daha ayrıntılı bilgiyi http://www.tldp.org veya http://www.linuxsecurity.com gibi sitelerdeki dokümanlardan edinebilirsin.
Görüş belirtmek için giriş yapın...

İlgili Yazılar

Mozilla 1.3 çıktı
acemi_
14 Mart 2003, 1 dakika okuma süresi

Mozilla 1.3'de bulunan yeni özellikler:
  • Junk mail sınıflandırma
  • Haber grubu filtreleme
  • Yeni eklenen rich text editor Mozilla Midas
  • Otomatik resim boyutlandırma. Resmi, tam ölçüsünde veya pencereye uygun ölçüde görebilme seçeneği
  • Mozilla paneli olarak açılan Chatzilla
  • Çalışma anında profil değiştirebilme
  • Sayfa içinde link/kelime arama için daha gelişmiş özellikler
  • Daha fazla performans, standartlara uyumluluk

    • Phoenix 0.5 (Naples) çıktı
    conan
    13 Aralık 2002, 1 dakika okuma süresi

    Mozilla'nin kodundan yola çıkılarak yaratılan web browser phoenix'in yeni versiyonu çıktı. Bu sürümde birden fazla homepage, 5 düğmeli intellimouse desteği, akıllı sidebar özelliği, download, history, ulaşılabilirlik, performans, stabilite, konularında iyileştirme, program boyutlarında ve hafıza kullanımında küçülme gibi bir çok yenilik var.

    Mozilla Projesinde Radikal Değişim: Phoenix
    Maverick
    3 Nisan 2003, 1 dakika okuma süresi

    http://www.mozilla.org/roadmap.html ve http://mozillazine.org/talkback.html?article=3042 adreslerinde görülebileceği gibi Mozilla projesi Mail ve Browser bileşenlerini değiştirmek istiyor.

    1.4 son klasik sürüm olacak ve stable 1.0.x serisinin yerini alacak. Ayrıca liderlik şekli değişip daha etkili modül sorumluları atanacak. Phoenix'e neler oluyor diyenler bunu beklemiyorladı sanırım ;^) (Tarihin 2 Nisan olduğunu hatırlatayım, bu bir şakaya benzemiyor) Bu haberle hız olarak slashdot'ı da geçmiş olduk bu arada...

    Mozilla one point oh release party
    m1a2
    24 Mayıs 2002, 1 dakika okuma süresi

    Mozilla 1.0 final release`den önce 1.0 release partisi duyuruldu :) 20 Haziran`da San Fransisco`da düzenlenecek partiye katılım serbest mi? Tabii ki öyle, küçük bir farkla. Partinin düzenleneceği dna lounge bar sınıfına girdiğinden eyalet yasaları gereği bu tip yerlere giriş için 21+ şartı gerekiyor. Yani 21 yaş altı Mozilla`cı Fazlamesaiciler (güzel bir sınıflama oldu di mi ama?) için üzgünüm, partiye katılamayacaksınız, San Fransisco`ya uçak bileti almaya kalkışmayın ;) Şimdi alternatiflerden bahsedelim: şurdan webcam ile partiyi takip edebilirsiniz. Veya Bugzilla`da 1.0 release`i için son derece kritik olarak rapor edilen Bug-100309`a kayıt yaparak bu bug`ı kapatabilir ve 1.0`ın çıkışını hızlandırabilirsiniz ;) Evet, Uruguay`dan Belçika`ya kadar alternatif partiler plânlanmış durumda. Microsoft-Turkey boğazda bi şeyler yapmıştı XP için. Onlardan yardım mı istesek acaba? Tecrübelerden istifade etmek lâzım...

    Not. Netscape`i pas geçerek bunu `Haberler` kategorisinde gönderiyorum. Netscape`i kaldırarak -veya kaldırmayarak- şöyle güzel bir `mozilla` kategorisi açsak diyorum; üstelik şurda fevkâlade haşmetli bir resim de var, onu da `mozilla.gif` olarak kullansak hani diyorum ;)

    Mozilla 1.0 Çıktı
    tongucyumruk
    5 Haziran 2002, 1 dakika okuma süresi

    Ailemizin browser'ı Mozilla sonunda 1.0 sürümü ile karşımızda... Resmi sitesi'nde Mozilla 1.0 Released gibi olabilecek en sadece biçimde yapılan duyuru ile Mozilla 1.0 Sürümüne adımını attı... Ayrıntılar için 1.0 Release Notes'a buradan ulaşabilirsiniz. Konuyla ilgili Slashdot'ta çıkan haberi ve gelen yorumları da buradan okuyabilirsiniz. (Bu arada FazlaMesai'de Mozilla sürüm takip sitesine dönüşmeye başladı gibi neredeyse günlük CVS updateleri bile haber olacak)