Ana sayfa

XSS

Drupal Güvenlik Güncelleştirmeleri

Tarih Temmuz 13th, 2008 gonderen fuzbing

İçerik yönetim sistemi Drupal çeşitli güvenlik açıklarına karşı güvenlik güncelleştirmelerini duyurdu. CSRF, Sql Injection gibi ciddi güvenlik açıklarının yanında OpenID modülü üzerindeki XSS güvenlik açığı ile kullanıcı kimlikleri ele geçirilebiliniyor.

Drupal'ın desteklenen versiyonlarından 5.x ve 6.x kullananların son versiyonlar olan 5.8 ve 6.3'e yükseltme yapmaları öneriliyor. Yükseltme yapamayan site yöneticileri için ise ilgili güvenlik açıklarını kapatan yamalar mevcut.

Yamalar:
5.7 kullananlar için; SA-2008-044-5.7.patch
6.2 kullananlar için; SA-2008-044-6.2.patch

Internet Explorer 8.0 - XSS Filter

Tarih Temmuz 5th, 2008 gonderen fuzbing

XSS (Cross-Site Scripting) saldırıları son yıllarda internet saldırganlarının kullandığı en etkili yöntemlerden biri. Küçük kodlama hatalarından oluşan XSS açıkları hemen hemen her türlü dinamik web sayfasında görülebilmekte. Bu açıklar sayesinde bazen ufak çaplı saldırılar yapılabilirken bazen de XSS üzerinden sitede ciddi hasarlar verilebiliyor.

Araştırma sonuçlarına göre de en fazla kullanılan saldırı metodu olan XSS için güvenlik yazılımları ve büyük firmalar sürekli çözüm üretmeye çalışıyor. Bunlardan en sonuncusu Microsoft tarafından geliştirilen XSS Filter (XSS Filtresi).

Facebook'ta XSS

Tarih Mayıs 25th, 2008 gonderen maeglin

Dünya'nın en büyük sosyal ağlarından biri olan Facebook'ta XSS keşfedildi. Güvenlik açığı ile birlikte site üzerinden sahte girişler hazırlanabiliyor ya da kullanıcılara zararlı yazılımlar iFrame yoluyla bulaştırılabiliyor.

Facebook'ta ki bu açıkla birlikte sosyal ağların güvenliği ne kadar önemsedikleri de yeniden tartışma konusu haline geldi. Milyonlarca kişinin kullandığı sosyal ağlarda daha öncede çeşitli güvenlik açıkları keşfedilmişti.

PayPal'de Güvenlik Alarmı

Tarih Mayıs 19th, 2008 gonderen fuzbing

Dünyanın en büyük para transfer sitelerinden biri olan PayPal'de kullanıcıları tehdit eden ciddi bir güvenlik açığı tespit edildi. Cross-site scripting ile yapılan saldırıyla kullanıcıların giriş bilgilerini ele geçirmek mümkün olabiliyor.

PayPal'in yeni SSL sistemiyle kullanıcılarına daha fazla güvenlik vaad etmesinden hemen sonra bulunan güvenlik açığı bir çok güvenlik uzmanı tarafından kritik olarak değerlendiriliyor. XSS güvenlik açığını keşfeden Finli güvenlik uzmanı Harry Sintonen, kendi yayınladığı bir ekran görüntüsüyle güvenlik açığını kanıtladı.

Google XSS

Tarih Nisan 16th, 2008 gonderen fuzbing

Google spreadsheets üzerinden yapılan bir cross-site scripting saldırısıyla kullanıcı çerezlerinin çalınması ve google servislerine erişim mümkün olmakta. Bu servisler arasında Gmail'de bulunuyor.

HTTP isteğinin istemciden dönüşünde yaşanılan tanımlama sorunundan çıkan güvenlik açığı Internet Explorer'ın gönderilen içerik tipi başlıkları görmezden gelmesi nedeniyle sınırlı. Hazırlanan spreadsheet (döküman) içeriğinde yer alan HTML ve JavaScript kodlarıyla kullanıcıların çerezlerini kaydediyor. Daha sonra text tabanlı CSV dosyası olarak oluşturulan bağlantı Internet Explorer'da HTML olarak görünüyor. Bu spreadsheet'i açan herhangi bir kişinin çerezleri saldırgana gidiyor.

KDE Konqueror XSS Açığı

Tarih Åžubat 7th, 2007 gonderen maeglin

KDE'de bulunan bir açıkla dışardan bir kullanıcının XSS (Cross-Site Scripting) ile kod çalıştırabileceği bildirildi. 'Tittle' etiketinin düzgün filtrelenememesinden kaynaklanan açığı, özel hazırlanmış bir HTML sayfasının çalıştırılması durumunda bilgisayardaki kayıtlı cookielere (çerez) ulaşılması mümkün.

Çözüm:
Bu güvenlik açığı için bir yama yayınlandı. KDE 3.5.6 için yamayı;

ftp://ftp.kde.org/pub/kde/security_patches
edc2cba17795356e98eba6f3841c6277 post-3.5.6-kdelibs.diff

adresinden alabilirsiniz.

Orjinal bildiri, http://www.kde.org/info/security/advisory-20070206-1.txt