Bilgisayar-Bilişim Teknolojileri
Ana Sayfa
Bilişim Teknolojileri Forumu Son Konuları
24 Saat
Bilişim Teknolojileri - Formatör - Bilgisayar Öğretmeni Kayıt
Kayıt Olun
iletişim
iletişim
Detaylı Arama
Arama

Kritik Flash açıkları 10binlerce web sitesi için tehdit oluş

Konu, 'Windows İşletim Sistemleri, Sorunlar ve Çözümler' kısmında ba2khan tarafından paylaşıldı.


Sayfayı Paylaş /bbnetsosyal

  1. ba2khan

    ba2khan Aktif Üye

    Kayıt:
    16 Eylül 2007
    Mesajlar:
    225
    Beğeni:
    0
    Google'daki araştırmacılar ve tanınmış bir güvenlik firması Adobe Flash'da, 10binlerce siteyi etkilediği varsayılan ve ziyaretçilerinin kişisel bilgilerinin çalınabilmesine izin veren kritik güvenlik açığı olduğunu rapor etti.

    Güvenlik açığı animasyon ve grafik içerikte önemli yere sahip olan Flash applet'lerde yer alıyor. SWF dosyalarındaki bu açığa XSS (cross site scripting) tekniği ile kötü amaçlı kod enjekte edilebiliyor. Henüz bir yama yok.

    Güvenlik açıkları Hacking Exposed Web 2.0 kitabında belirtilmiş. Yakında satışa sunulacak olan bu kitaba şimdiden çoğu güvenlik uzmanı sahip durumda. Sızma testleri yapan bir güvenlik firması olan iSEC partners ve Google firmasından olan kitap yazarları büyük firma, hükümet ve medya sitelerinde 500bin den fazla güvenlik açığı içeren applet olduğunu söylüyor.

    Kitap yazarlarından Alex Stamos "Çoğu yer bu açıktan etkileniyor, henüz bir yama yok, tek çözüm SWF'leri kaldırıp Flash yaratma araçlarının, Flash'in güncellenmesini beklemek"

    Flash seli
    En popüler Flash yaratma programları otomatik olarak bu problemli içeriği yaratıyor. Dahası, grafikleri yaratanlar genelde sitenin güvenlik ekibinden ayrı olarak çalışırlar. Tüm SWF dosyalarını belirleyip tek tek test etmek gerekiyor. SWF dosyalarını işleyen Adobe yazılımında da güncellemeler olması bekleniyor.

    Kitabın yazarları çözüm için yaz boyunca Adobe ile ve USCERT ile birlikte çalışmış. Adobe yamaların bir kaç hafta içinde çıkacağını belirtiyor. Kullanıcılar ise NoScript firefox plugin'i veya Flash içeriği bloklayarak geçici çözümler uygulayabilirler. Flash içerik yaratıcıları veri onaylama kütüphanelerini buradan edinebilirler. Ayrıca Adobe whitepaper da anlatılanlara uyulması tavsiye ediliyor.

    Saldırı senaryosuna örnek olarak: Bir banka, web sitesinde reklam grafiklerini açıktan etkilenen Flash applet'i olarak sunuyor. Müşterilerin kötü amaçlı bağlantı adresine tıklamalarını sağlayan saldırganlar SWF dosyasını çalıştırırken kod enjekte ederek müşterinin kimlik doğrulama cookie'lerini veya login bilgilerini çalabiliyorlar.

    Alex Stamos çok sayıda yerin etkilendiğini söylüyor. "Onbinlerle ifade etmek az. Gerçekte yüzbinlerce site etkileniyor olmalı" diyor.

    Kaynak: http://www.theregister.co.uk/2007/12/21 ... ty_menace/
     
  2. @lperen

    @lperen Seçkin Üye Seçkin Üye

    Kayıt:
    1 Aralık 2007
    Mesajlar:
    844
    Beğeni:
    3
    Kapalı kapı yoktur, açılamayan kapı vardır.
     
Yüklüyor...

Sayfayı Paylaş /bbnetsosyal