Subject: [LINUX:12595] ONEMLI: Web Browser Guvenlik Acigi
From: Erol Ozcan (eozcan@superonline.com)
Date: Thu 03 Feb 2000 - 03:21:37 EET
Merhaba,
Bir suredir bazi hacker cevrelerince bilinen guvenlik acigi CERT
tarfindan nihayet aciklandi. Acik bilinen script destegi olan butun web
browser lari ( Netscape , Internet Explorer...) ve veri girisine gore
web sayfasi hazirlayan butun web serverlari etkilemektedir.
Bu acik kisaca HTML kodun icine konulan genelikle linklere
basildiginda calisan kotu amacli script ler yolu ile calismaktadir.
Ornegin bu yolla internet sifreniz calinabilme ve dosyalarinizin zarar
gormesi ihtimali var. Bu guvenlik aciginin aciklanmasi ile birlikte bir
cok kotu niyetli kimseler bu acigi kullanmaya calisacaklardir.
Su anda kullanici bazinda kesin bir cozum yok. Sorunun tam cozumu
simdilik web sayfalarini hazirlayanlarda yatiyor. Ama kullanici olarak
yapabilecek iki cozum var.
1) Normalde web browserinizda acik olan java ve javascipt (varsa diger
script) destegini kapatmaniz. Bu durumda java ve javascript calistiran
bazi sitelere giremeyeceksiniz. Bu secenek ile riski en aza (hatta
hice)
indirmis olursunuz.
2) Java ve Javascriptleri kullanmak istiyorsaniz zarar vermeyeceginden
emin oldugunuz sayfalari ziyaret edeniz. Guvendiginiz sayfalarda zararli
scriptler varsa bu secenek riskli olabilir. ( Dost kazigi olaylari! )
Belki bir ucuncu cozum daha olabilir. O daha ziyaret ettiginiz
sayfaninin
once scriptsiz ziyaret edip sonra html kodunu inceleyip zararsizsa
tekrar script ile ziyaret etmek... :))
Bu arada konuyu abartip interneti hep kullanmayi dusunmeyin.
Internette sayfalarin buyuk kismi zararli kodlar icermiyor. Ama su anda
boyle bir sorunun oldugunu unutmamak gerekiyor. Ozellikle adult, hack ,
crack, warez vs.. sayfalari ziyaret ediyorsaniz daha dikkatli olun.
Konunun en kisa surede yazilim tarafindan cozulecektir.
Konu ile ilgili CERT in aciklamsini asagidaki linkten
okuyabilirsiniz.
http://www.cert.org/advisories/CA-2000-02.html
Son dakika :
Apache web server bu sorun icin web server tarafindan olusan sorun
icin patch cikardi. Patch i asagidaki sayfadan bulabilirsiniz.
http://www.apache.org/info/css-security/
Bu arada Micro$oft firmasinin security ilgili web sayfasinda su anda
kadar konu ile ilgili tek bir haber bile yok.
iyi calismalar...
Erol Ozcan
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr'a gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/