IE7’nin Güvenlik Seyri

Onur OKTAY
25-10-2006, 01:53   |  #1  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

Güvenlik Uzmanının Gözünden Internet Explorer 7

IE7’nin Güvenlik Seyri

        Microsoft’un yeni nesil işletim sistemi Windows Vista ile birlikte kullanıcılara sunduğu Internet Explorer 7 Download edilmeye başlandı.

        Microsoft, IE7’nin eski sürümlerine göre daha güvenli olduğunu iddia ediliyor. Ancak 48 saat önce IE-7’de URL Atlama Güvenlik açığı keşfedildi. Yüksek Risk olarak duyurulan güvenlik açığı IE-7’i download eden kullanıcıları etkiliyor. IE7’de ki ilk güvenlik açığını, Hacker’lar Web siteleri üzerinden server’lara dökümanter yüklemek için kullanıyorlar. Bu durum hacker’ların saldırı kodlarını server’lar üzerinde çalıştırabilmelerine olanak veriyor. Benim düşünceme göre download’a sunulmasından 48 saat sonra keşfedilen bu güvenlik açığı, IE-7’nin karizmasını fena halde çizdi…

        IE-7 daha önce sürümlerinde olmayan ve kullanıcıların daha kolay bilgiye ulaşmasını sağlayan özellikleri ile göz doldururken, Piyasa da en büyük rakibi özgür yazılımcı Mozilla FireFox’a benzediği yönünde de eleştiriler alıyor.

        IE-7 Güvenlik olarak, RSS, Anti-Phising gibi extra güvenlik önlemleri sunuyor. Bir dönem hacker’ların Phising saldırılarına karşı alınması gereken önlemi yaklaşık 1 sene geç kalarak alması, IE-7’nin bir zayıf yönü daha. Çünkü artık hacker’lar Phising ataklarına karşı alınan önlemleri geçebiliyorlar. Phising yerine farklı saldırılar deneyen ve geliştiren hacker’ların olduğuda bilinmekte. Bundan önceki yazımda Adres Spoofing ‘in Phising’in yerine geçtiğini söylemiştim. IE-7’nin Anti-Phising özelliği çok da yararlı olacak gibi görünmüyor.

        Ülkemizin hacker’larından henüz IE-7 Hakkında bir atak, saldırı ya-da herhangi bir bilgi gelmedi. Zaten IE-7’yi indiren ve kullanan da az kişi olduğunu tahmin ediyorum. IE-7’yi  “Microsoft browser is 'blood in the water for hackers” olarak değerlendiren yabancı hacker’lar ise şimdiden ciddi saldırı planları yapmışlar.


Onur OKTAY - Güvenlik uzmanı       

       

viking20
25-10-2006, 19:51   |  #2  
viking20 avatarı
Yıllanmış Üye
Teşekkür Sayısı: 141
7,681 mesaj
Kayıt Tarihi:Kayıt: May 2006

hevesimizi kursağımızda bıraktın:)dün 1, bugün daha 2 bile olmadan,paylaşımın için teşekkür ederiz,sağl.Saygılar.

Son Düzenleme: viking20 ~ 25 Ekim 2006 20:01
CU_GS7
25-10-2006, 20:13   |  #3  
Yıllanmış Üye
Teşekkür Sayısı: 0
6,371 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

Dakika 1, gol 1.. :))

Onur OKTAY
27-10-2006, 00:42   |  #4  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

Dakika 2, Gol 2 , IE-7'de büyük ve kritik bir güvenlik açığı daha var.

Benim yazılarımı takip edenler nerede yazdığımı bilirler.

CU_GS7
27-10-2006, 01:25   |  #5  
Yıllanmış Üye
Teşekkür Sayısı: 0
6,371 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

google`da "Onur OKTAY" diye aramak yeterli, bilmeyenlere..:))

Selçuk İslamoğlu
27-10-2006, 01:26   |  #6  
Selçuk İslamoğlu avatarı
CHIP Online
Teşekkür Sayısı: 73
4,131 mesaj
Kayıt Tarihi:Kayıt: Ağu 2003

Firefox 2.0'da da benzeri 2 güvenlik açığı çıktı, bunu da yazabilirsin Onur ;)

Her ne kadar "kritik" kabul edilse de, nedense Mozilla "kuru gürültü" bunlar deyip gözardı etmeyi seçmiş görünüyor şimdilik.

Tabi işin aslını da bilmek gerek. IE7'nin açıklarının "kolay" exploit edilebilir değil, sadece 2-3 aşamalı "eğer"lerden sonra ortaya çıkacağı "power user" harici bu "eğer"lerin ortaya çıkmayacağını da eklemek lazım.

IE7'deki her 2 açık da, "Less Critical" olarak tanımlanıyor. Kısacası kimsenin korkmasının bir anlamı yok, veya "IE7'nin güvenilirliğine gölge düşürmesi" gibi bir olay da...

Sanıyorum "Microsoft" düşmanlığının bizi getirdiği bu nokta biraz da Mozilla'nın altından çıkıyor. Keza oldukça güvenli diye getirdiği, IE6'dan sonra çıkmasına rağmen Firefox'un IE'den çok daha fazla açıklarıyla yeni sürümler ortaya sunmasından belli.

viking20
27-10-2006, 02:20   |  #7  
viking20 avatarı
Yıllanmış Üye
Teşekkür Sayısı: 141
7,681 mesaj
Kayıt Tarihi:Kayıt: May 2006

Aslında bu, gerek donanımda olsun gerekse yazılımda olsun sürekli izlenen bir politika ve/veya strateji değilmi.Gayet apaçık ortada adamlar yolun sonunu göstermiyor,bir üründe daima birşey/birşeyler açık/eksik bırakılıyor ve bu kasıtlı olarak yapılıyor ki bir sonraki ürün için bahane/'ler üretilebilsin.Aaa bakın İ.Exp8 de bunlar artık yok,olmıyacak gibi.Aynı yöntem donanımda da sözkonusu,bu ekran kartı artık şöyle,şu işlemci artık böyle özellikli v.s. gibi.3-4 yıl sonrasının ürün stratejileri aslında bugünden belliymiş diyede duyum almıştım.
-----------------
IE 7 Fails Old Security Test:


IE 7 Fails Its First Security Test:

,2180,2034070,00.asp

Son Düzenleme: viking20 ~ 29 Ekim 2006 20:21
Onur OKTAY
27-10-2006, 10:42   |  #8  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

Tekrardan merhabalar ;

Benim Microsoft 'a düşman olmak ya da düşmanlığını ilerletmek gibi bir şeyim yok, aksine savunduğum şey; ne yaparsa Microsoft yapar onu takip edenler geliştirebilirlerse geliştirirler.

Mozilla'daki güvenlik açıkları da eski sürüme göre çoğaldı. Bunun bir nedeni de Mozilla'nın eskisinden daha fazla kişiye hitap ediyor ve kullanılıyor olması da olabilir. Tabii ki bi de sizin dedikleriniz var.

Bu olaylar biraz da stratejik gibi geliyor bana. IE'deki Güvenlik açıklarının kullanılması bahsettiğiniz kadar zor değil, Birazcık Exploit bilgisi olan ( örnegin derlemesini bilen ) kolaylıklı kendine kurban bulabiliyor.