RAMSES113

İsrailli Hacker, Matan GILLON, , Google Desktop Software’i kullanılarak, karşı bilgisayardan kişisel bilgi, şifre ve kredi kartı numaralarının alınabilmesini sağlayan, Microsoft Internet Explorer’daki yeni bir açığı yayınladı.
Gillon’a göre, açık, Internet Explorer’daki Etki Alanları Arası Korumaları ile ilgili ve Google Desktop 2 yüklenmiş tüm Internet Explorer’larda mevcut.

Bir Hack sitesine konu ile ilgili kanıtlı-saldırı örnegi sunan Gillon, Birçok Klasik XSS açıkları gibi, Internet Explorer’daki bu açığın da, hackerin, karşıdaki kişinin özel bütün datalarına ulaşabildiği ve karşı taraf adına uzak domain adresleri üstünde değişiklikler yapılabilmesine izin verdiğini ekledi. Bunun için kurbanın, önceden belirlenen bir web sitesine yönlendirilmesinin yeterli olduğunu söyledi.

Gillon’a göre, henuz bu acığın basit bir cozumu yok. Bu demektir ki, milyonlarca Internet Explorer kullanıcısı bu açık yüzünden tehlike altında.

Bu açığı,, Google desktop kullanarak, bir web sitesi saldırısı vasıtasıyla, karşı tarafın bilgisayarındaki bilgilere ulaşabilir miyim merakı ile keşfettiğini belirten ve Explorer’daki problemi sade bir design açığı olarak tanımlayan hacker, sözkonusu açığın, Internet Explorer’ın Etki-Alanları-Arası Güvenlik Modelini kullanan tüm programları bağlamakta olduğunu sözlerine ekledi.

"Normal olarak, tarayıcılar, karşılıklı Etki-Alanları için zorlama yaparlar. Bir web sitesi vasıtasıyla, kullanıcının ona girdiğinde başka bir web sitesinin de açılması çok basit, fakat sayfanın içeriği tamamen okunamayabiliyor. IE’deki bu kısıtlamalara rağmen, iş CSS Import’lara gelince durum değişiyor. ( Cascading Style Sheet ) Bu saldırı türünü ben CSSXSS ( Cascading Style Sheets Cross Site Scripting ) olarak adlandırıyorum." dedi.

Başka bir deyişle, Internet Explorer domainler arasında geçiş yaparken, bazı dosyaları tam olarak ayrıştırmadığı için, güvenlikle ilgili korumalarındaki bir anahtarın değiştirilmesine izin veriyor.

Microsoft’un açığı onaylamış olmasına rağmen, şu an için IE kullanıcıları arasında ciddi bir saldırı tesbit edilmiş durumda değil. Şirket, konu üstünde çalışmakta olduklarını bildirdi.

Gillon ise, IE kullanıcılarının yeni bir patch çıkana kadar, Explorer kullanırken Javascript özelliğini kaldırmalarını ya da şimdilik Microsoft çözüm bulana kadar başka bir tarayıcı kullanmalarını tavsiye etti.

Bunun yanısıra, Google ise bu konuya, Google Desktopla ilgili olarak değil, tamamen tarayıcının kendi problemi gözüyle bakmakta. Konuyu henuz ögrendiklerini ve üstünde çalıştıklarını ifade etmekteler.

Sophos’tan Teknoloji Uzmanı, Graham Cluley ise, Gillon’un bu konu ile ilgili Microsoft ve Google yetkilileri ile temasa geçmeden, böyle bir açığı ilan etmesini sorumsuzluk olarak niteledi. "Henuz cozumu bulunmayan ve güvenlikle ilgili bir acığı dunyaya ilan etmek, gercekten kullanıcıları uyarmak amaclı mıdır ? yoksa ben zekiyim ! iddiasında mı bulunmaktır ?" diyen Cluley konu ile ilgili arastirmalarin surdugunu soyledi.

Walaika K.Haskins

"Hakikat Damlaları"