E-Doktor

Sağlık, sağlıklı yaşam ve cinsellik gibi bilgiler

Güncel

Güncel haberler, Gündemdeki konular

İnternet Alemi

İnternet’te yaşanan son gelişmeler

Magazin

Magazin ile ilgili haberler, ünlüler, mankenler,ünlü resimleri, manken resimleri,yabancı ünlüler

Programlar

Freeware (Ücretsiz ), Shareware (Süre/Kullanım Kısıtlamalı ) Yazılımlar,Program indir

Çarşamba, 1 Ekim 2008Yorum Yok

Clickjacking ve yeni browser güvenlik açıkları + Korunma

Araştırmacılar bütün ana masaüstü platformlarını (Internet Explorer, Firefox, Safari, Opera ve Adobe Flash) etkileyen yeni bir browser exploit / tehditi ile ilgili olarak uyarıyorlar.

Clickjacking adı verilen tehdit OWASP New York AppSec 2008 konferansında anlatılacak ve tartışılacaktı ama Adobe ve diğer etkilenen üretici firmaların ricası üzerine fix çıkana kadar açıklanmayacak.

Keşfin arkasındaki iki araştırmacı Robert Hansen ve Jeremiah Grossman açığın seviyesi ile ilgili ufak bilgiler verdiler.

Clickjacking nedir?

“Maalesef, bulgularımızın bazıları kötü değil, çok kötü. O kadar kötü ki, sorumluluğunu taşıyarak duyurmamız gerektiğini hissettik. Bir açık diğerine yöneltti o da bir diğerine ve güm – yakında açıklar ile ilgili pek çok yama çıkacak. Ve sadece bir kaç üretici firma ile çalıştık. Ve.. evet. Açık çok kötü.”

Yarı kısıtlı OWASP prezentasyonunu izlemiş birisi açığın gerçekten zero-day (patch i yok) olduğu, tüm browser’ları etkilediğini ve Javascript ile alakası olmadığını belirtiyor:

“Kabaca, kötü amaçlı bir web sitesini ziyaret ettiğinizde saldırgan browser’ınızın ziyaret ettiği linklerin kontrolünü eline alabiliyor. Problem lynx türü olanlar hariç hemen hemen tüm browser’ları etkiliyor. Problemin javascript ile alakası yok ve javascript i kapatmanın yararı olmuyor. Browser2ların çalışma mantığındaki bir hata ve bir yama ile basitçe kapanamayacak birşey. Bu açıkla, kötü amaçlı bir web sayfasına girdiğinizde, kötü amaçlı kişi istediğiniz linke, butona tıklamanızı sağlıyor ve birşey görmüyorsunuz.”

Firefox 2, 3, Internet Explorer tüm sürümleri (8 dahil), Opera, Safari browser’ları Clickjacking açığından etkileniyor.

Korunma Yolları :

Firefox Noscript eklentisinin yazarı Giorgio Maone Noscript ile %100 korunma sağlanabileceğini söylüyor. Clickjacking ile ilgili olarak yayınladığımız haberin yazarına aşağıdaki epostayı göndermiş:

“Merhaba,
Clickjacking haberinin yorumlarında Noscript in koruma sağlamadığı ile ilgili çok sayıda spekülasyon ve kafa karışıklığı gördüm.

Bu açığın nasıl olduğu ile ilgili detaylı bilgiye erişme imkanım oldu ve size aşağıdakileri söyleyebilirim:
1. Gerçekten korkutucu bir açık.
2. NoScript varsayılan konfigürasyonu ile çoğu saldırı senaryosunu durdurabilir (en pratik, etkili ve tehlikeli olanlarını).
3. NoScript ile %100 korunma sağlamak için “Plugins|Forbid ” seçeneğini işaretlemelisiniz.

Giorgio

Tüm kadın ayakkabısı fırsatları için tıklayın !

+-
Benzer Yazılar
  • Safari, IE8 ve Firefox yarışmanın ilk gününde kırıldı
  • Facebook'ta yine güvenlik tehlikesi
  • Google Chrome'un Pazar Payı
  • Firefox'a sanal hacker: Page Hacker
  • Silikon Vadisi'nin Rus Mühendisleri Hacker Oldu
  • Rus hacker saldırılarında Türkiye'yi kullanıyor
  • Gürcistan-Rusya savaşı sanal dünyada

    • Yorum Yapın!