IE-7 Popup Adres Gizleme Güvenlik Açığı[!]

Onur OKTAY
27-10-2006, 10:47   |  #1  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

Microsoft’un yeni nesil işletim sistemi Windows Vista ile birlikte kullanıcılara sunduğu Internet Explorer 7 Download edilmeye başlandı.

Microsoft, IE7’nin eski sürümlerine göre daha güvenli olduğunu iddia ediliyor idi. IE-7 ‘yi indirip deneyen herkes eskisinden daha güvenli bir Explorer olduğunu iddia ediyordu. Ancak davulun sesi uzaktan hoş gelir ya , işte aynen öyle oldu. 2 gün içinde IE-7’nin karizması fena halde çizildi.

        Önce Url atlama açığı keşfedildi, hacker’lar açığı kullanarak IE-7 kullanan kişilere saldırılar düzenledi. Şimdi de Adres Gizleme Güvenlik açığı olduğu ortaya çıktı.

        Yeni keşfedilen güvenlik açığının en büyük tehlikesi ise Phising ( olta ) saldırılarına olanak vermesidir. Hacker’lar, URL ( Adres ) ‘in sonuna ekledikleri ve kullanıcıların görmediği Gizli URL ( Spoofing URL ) ile kullanıcıların bilgilerini ele geçirebiliyorlar.

        IE-7 Piyasaya çıkmadan önce Anti-Phising özelliği çok konuşulmuş, tartışılmıştı. Şimdi ise bu tartışmaların boşa olmadığını bir kez daha görmüş oluyoruz. Henüz yeni piyasaya çıkmış olmasına rağmen 2 gün içinde birisi kritik iki güvenlik açığı bulunan IE-7, benden 0 puan alarak sınıfta kaldı. Piyasadaki rakibi Mozilla FireFox’un Güvenlik olarak daha iyi olduğu bir kez daha kanıtlanmış oldu.

        Güvenlik firması Secunia, IE-7’deki Adres Gizleme güvenlik açığını test etmek için bir link koydu, güvenlik açığını ; http://secunia.com/internet_expl ... _bar_spoofing_test/ adresinden test edebilirsiniz.

Yazar: Onur OKTAY | Güvenlik Uzmanı - Security Advisory/Edithor
oktayonur@superposta.com  

Blog: OnurOktay.WordPress.Com

Son Düzenleme: Onur OKTAY ~ 27 Ekim 2006 11:05
TuncaBozkurt
27-10-2006, 16:49   |  #2  
Yıllanmış Üye
Teşekkür Sayısı: 0
4,805 mesaj
Kayıt Tarihi:Kayıt: Oca 2006

Çok teşekkürler.Benim yüklememde sorun çıkmıştı onu halletmeye çalışıyodum.Demek ki Opera'ya devam...

Selçuk İslamoğlu
27-10-2006, 18:12   |  #3  
Selçuk İslamoğlu avatarı
CHIP Online
Teşekkür Sayısı: 73
4,131 mesaj
Kayıt Tarihi:Kayıt: Ağu 2003

Secunia, “Bu, adres çubuğunun sadece bir kısmını göstermeyi olanaklı kılıyor. Böylece kullanıcılar aslında amaçlamadıkları bazı davranışlarda bulunabilirler” dedi. Şirket, açılır pencerede Microsoft’un web adresinin göründüğü, fakat Secunia’nın sitesinin içeriğini gösteren bir örnekle bunu kanıtladı.

Bir Microsoft görevlisi, e-posta yoluyla yaptığı açıklamada, sorunun, Web adreslerinin IE7’nin adres çubuğunda görünme biçiminde yattığını söyledi. Şirket temsilcisi, bir saldırganın, kullanıcıyı, belli bir amaç için biçimlendirilmiş bir linke tıklaması için kandırarak bu zayıf noktayı kötüye kullanabileceğini belirtti.

Microsoft, pencerenin, Web adresinin sol tarafını engelleyeceğini söyledi. “Web tarayıcısı penceresinin ya da adres çubuğunun içine tıklamak ve onun içinde kaydırmak bütün URL’nin görünmesini sağlayacaktır.”
Microsoft, “eğer web sitesi, şifre çalma işleminin bir parçası olarak tanınan bir site ise bu saldırı işe yaramayacaktır. IE7’deki şifre çalma alanı bu tür siteleri tanıyacak ve kullanıcıyı uyaracaktır. Microsoft’a bugüne kadar bu yönde bir saldırının olduğuna dair herhangi bir şikayet gelmemiştir”, dedi.

Şirket, IE7’nin, Internet Explorer’da beş yıldan beri yapılan en büyük değişiklik olduğunu ve bu son versiyonda özellikle güvenliğe öncelik verildiğini söyledi. Ayrıca, bu sorunun en kısa zamanda çözülmesi için de elinden geleni yapacağını ekledi.

Selçuk İslamoğlu
27-10-2006, 18:19   |  #4  
Selçuk İslamoğlu avatarı
CHIP Online
Teşekkür Sayısı: 73
4,131 mesaj
Kayıt Tarihi:Kayıt: Ağu 2003

Kısacası adres çubuğunda bir satır alta atıyor.


 

      


        

Alt satır görünüyor. Ama phishing filtresinden bu site görüntülenmiyor. Keza ne olursa olsun, orasının görüntülenmemesi gerekir. Firefox görüntülemiyor mesela (pop-up adres satırı), yani böyle birine kurban gidilecekse, Firefox kullanan da phishing filtresi yoksa kurban gidecektir. Güvenlik açığı demeye bahane ister ;)

Onur, senin gibi bilgili biri için, bu "hata" için "sınıfta kaldı" kelimesi fazla felaket tellallığına kaçmıyor mu? ;)

TuncaBozkurt
27-10-2006, 22:06   |  #5  
Yıllanmış Üye
Teşekkür Sayısı: 0
4,805 mesaj
Kayıt Tarihi:Kayıt: Oca 2006

Opera 9, Firefox 2 ve Internet Explorer 6 da böyle bir sorun yok.Demek ki IE 7 deki bir programlama hatası.

Selçuk İslamoğlu
28-10-2006, 06:05   |  #6  
Selçuk İslamoğlu avatarı
CHIP Online
Teşekkür Sayısı: 73
4,131 mesaj
Kayıt Tarihi:Kayıt: Ağu 2003

Programlama hatası olup olmadığı tartışılabilir. Opera, Firefox 2 veya Internet Explorer 2'de "pop-up" ekranlarda adres gösterilmiyor dahi. Yani bu bir "yeni özellik", belki insanlar gittikleri adresi görürlerse daha iyi olabilir demeleri açısından. Ufak bir yamayla durumu düzeltebilirler sanıyorum. Ciddi bir güvenlik tehlikesi yok kullanıcılar açısından (keza phishing filtresi her halukarda önlüyor bu tür siteleri, adres satırına bakmaksızın)

Onur OKTAY
28-10-2006, 11:26   |  #7  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

Tekrardan selamlar herkese ;

Selçuk bey ; Güvenlik açığı demek için bahane ister demişsiniz, Hacker'ların saldırılarının %70-80'i sistem ya da program güvenlik zaafiyatlarından kaynaklanmaktadır. Saldırı olduğuna göre sizce buna ne demeliydi ?

Aynı durumun FireFox için olup olmadığını henüz araştırmadım ama dediğiniz doğruysa olabilir, IE-7'deki Phising Filtresinin çok yararlı olacağına eminim ama Dünya'da Phising nedir bilmeyen o kadar çok kişi var ki... Bu sayı özellikle de ülkemizde çok fazla. Bu durum için Microsoft ne yapabilir ki diyeceksiniz ? tabii ki birşey yapamaz. Microsoft zaten yeterince, elinden geldiğinin en iyisini yaparak Türkiye'ye ya da Dünya'ya Bilgisayar konusunda yardım ediyor. Her ne kadar eleştiri yağmuruna tutulsa bile My First PC gibi projesi var mesela...

Yüksek Dağların Dumanı Çok Olur derler ya, Microsoft'da popüler yazılımlara sahip olduğu için Hacker'lar ve Güvenlikciler tarafından en çok yargılanan, soruşturulan ve saldırılan yazılımlara sahip.

Yukarıda yazdıklarım benim düşüncelerim idi , Secunia ile alakası yok zaten Test link'ini de sonradan gördüm...

Felaket tellallığı diye birşey yok. Sadece Phising tehlikesinin henüz önüne geçilmediğini belirtmek istedim. Keza hacker'lar artık, Phising ataklarından da vazgeçtiler...

kolay gelsin.