Israilli Hacker, Matan GILLON, , Google Desktop Software’i kullanilarak, karsi bilgisayardan kisisel bilgi, sifre ve kredi karti numaralarinin alinabilmesini saglayan, Microsoft Internet Explorer’daki yeni bir açigi yayinladi.
Gillon’a göre, açik, Internet Explorer’daki Etki Alanlari Arasi Korumalari ile ilgili ve Google Desktop 2 yüklenmis tüm Internet Explorer’larda mevcut.
Bir Hack sitesine konu ile ilgili kanitli-saldiri örnegi sunan Gillon, Birçok Klasik XSS açiklari gibi, Internet Explorer’daki bu açigin da, hackerin, karsidaki kisinin özel bütün datalarina ulasabildigi ve karsi taraf adina uzak domain adresleri üstünde degisiklikler yapilabilmesine izin verdigini ekledi. Bunun için kurbanin, önceden belirlenen bir web sitesine yönlendirilmesinin yeterli oldugunu söyledi.
Gillon’a göre, henuz bu acigin basit bir cozumu yok. Bu demektir ki, milyonlarca Internet Explorer kullanicisi bu açik yüzünden tehlike altinda.
Bu açigi,, Google desktop kullanarak, bir web sitesi saldirisi vasitasiyla, karsi tarafin bilgisayarindaki bilgilere ulasabilir miyim meraki ile kesfettigini belirten ve Explorer’daki problemi sade bir design açigi olarak tanimlayan hacker, sözkonusu açigin, Internet Explorer’in Etki-Alanlari-Arasi Güvenlik Modelini kullanan tüm programlari baglamakta oldugunu sözlerine ekledi.
"Normal olarak, tarayicilar, karsilikli Etki-Alanlari için zorlama yaparlar. Bir web sitesi vasitasiyla, kullanicinin ona girdiginde baska bir web sitesinin de açilmasi çok basit, fakat sayfanin içerigi tamamen okunamayabiliyor. IE’deki bu kisitlamalara ragmen, is CSS Import’lara gelince durum degisiyor. ( Cascading Style Sheet ) Bu saldiri türünü ben CSSXSS ( Cascading Style Sheets Cross Site Scripting ) olarak adlandiriyorum." dedi.
Baska bir deyisle, Internet Explorer domainler arasinda geçis yaparken, bazi dosyalari tam olarak ayristirmadigi için, güvenlikle ilgili korumalarindaki bir anahtarin degistirilmesine izin veriyor.
Microsoft’un açigi onaylamis olmasina ragmen, su an için IE kullanicilari arasinda ciddi bir saldiri tesbit edilmis durumda degil. Sirket, konu üstünde çalismakta olduklarini bildirdi.
Gillon ise, IE kullanicilarinin yeni bir patch çikana kadar, Explorer kullanirken Javascript özelligini kaldirmalarini ya da simdilik Microsoft çözüm bulana kadar baska bir tarayici kullanmalarini tavsiye etti.
Bunun yanisira, Google ise bu konuya, Google Desktopla ilgili olarak degil, tamamen tarayicinin kendi problemi gözüyle bakmakta. Konuyu henuz ögrendiklerini ve üstünde çalistiklarini ifade etmekteler.
Sophos’tan Teknoloji Uzmani, Graham Cluley ise, Gillon’un bu konu ile ilgili Microsoft ve Google yetkilileri ile temasa geçmeden, böyle bir açigi ilan etmesini sorumsuzluk olarak niteledi. "Henuz cozumu bulunmayan ve güvenlikle ilgili bir acigi dunyaya ilan etmek, gercekten kullanicilari uyarmak amacli midir ? yoksa ben zekiyim ! iddiasinda mi bulunmaktir ?" diyen Cluley konu ile ilgili arastirmalarin surdugunu soyledi.
Walaika K.Haskins
Alintidir. Tarafimdan cevrilmistir. Kaynak: newsfactor.com 2 Aralik 2005
