KDE'nin tarayıcı çeviricisi KHTML üzerinde güvenlik açığı tespit edildi. Hafıza taşmasına neden olan güvenlik açığı KHTML'in PNG formatındaki resimleri düzgün filtreleyememesinden kaynaklanmakta.
Site üzerinden DoS saldırıları yapmaya elverişli olan güvenlik açığı KDE 4.0 ve yeni sürümlerde etkili olduğu bildirildi. KDE 3.x ise bundan etkilenmemekte.
WordPress'in geçtiğimiz günlerde yayınlanan son sürümü 2.5 üzerinde bir güvenlik açığı tespit edildi. WordPress kurulu bir sistemde kullanıcı adını değiştirme yetkisine sahip olan bir kullanıcı bu güvenlik açığı ile diğer kullanıcıların cookie(çerez)'lerine erişim sağlayabiliyor.
Güvenlik açığı WordPress 2.5'in cookie doğrulama sisteminin olmamasından kaynaklanmakta. WordPress'te cookie yapıları şu şekilde belirlenmiş.
"wordpress_".COOKIEHASH = USERNAME . "|" . EXPIRY_TIME . "|" . MACMicrosoft Works üzerinde ActiveX ile çalışan bir güvenlik açığı tespit edildi. 0-day olarak Çinli bir güvenlik araştırmacısı tarafından bulunan güvenlik açığı Microsoft Works resim sunucusundan(WkImgSrv.dll) kaynaklandığı ve özel hazırlanmış sayfalar ile dışarıdan zararlı kodların çalıştırılabileceği bildirildi.
Clsid: 00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6 ile hazırlanmış sayfalarda aktif olabilen güvenlik açığı için henüz bir yama çıkarılmadı. Güvenlik açığı ile ilgili tartışmaları ve örnek kodları forum sayfamızdan takip edebilirsiniz.
Ünlü video oynatıcısı ve codec'i DivX'in 6.7.0 sürümünde hafıza taşmasından oluşan bir güvenlik açığı tespit edildi. Güvenlik açığı manuple edilmiş .srt (altyazı) dosyalarının 4096 karakter uzunluğundan fazla olmasıyla oluşmakta. Oynatıcının altyazı dosyasının uzunluğunu kontrol etmemesi yüzünden güvenlik açığı ile dışarıdan kod çalıştırmak mümkün olabiliyor.
Aynı isimli film ve altyazı dosyalarını birlikte açan DivX Player için farkında olmadan bu güvenlik açığına maruz kalmak mümkün. Şuan için 6.7.0 ve alt sürümlerinde etkili olan güvenlik açığına karşı bir yama çıkarılmadı bu nedenle kullanıcıların bilmedikleri kaynaklardan altyazı dosyaları çekmemeleri öneriliyor.
Google spreadsheets üzerinden yapılan bir cross-site scripting saldırısıyla kullanıcı çerezlerinin çalınması ve google servislerine erişim mümkün olmakta. Bu servisler arasında Gmail'de bulunuyor.
HTTP isteğinin istemciden dönüşünde yaşanılan tanımlama sorunundan çıkan güvenlik açığı Internet Explorer'ın gönderilen içerik tipi başlıkları görmezden gelmesi nedeniyle sınırlı. Hazırlanan spreadsheet (döküman) içeriğinde yer alan HTML ve JavaScript kodlarıyla kullanıcıların çerezlerini kaydediyor. Daha sonra text tabanlı CSV dosyası olarak oluşturulan bağlantı Internet Explorer'da HTML olarak görünüyor. Bu spreadsheet'i açan herhangi bir kişinin çerezleri saldırgana gidiyor.
Opera'da kritik olarak nitelendirilebilecek bazı güvenlik açıkları yayınlandı. Yeni bir haber beslemesi eklerken oluşan ilk güvenlik açığı özel hazırlanmış bir besleme ile hafızaya izinsiz erişim sağlanmasına yol açıyor.
HTML - Canvas elementleri işlenirken oluşan diğer hata ise hafıza bozumuna yol açmakta. Opera kullanıcılarının güvenlik açıklarına karşı şuanda son sürüm olan 9.27'ye güncelleme yapmaları isteniyor.
Cisco IOS (internetwork operating system) üzerinde çoklu güvenlik açıkları tespit edildi. Orta derece risk taşıyan güvenlik açıkları veri manipülasyonu ve DoS saldırılarına neden olabileceği bildirildi.
Etkiler:
Web tarayıcı yazılımı Safari'de, 2 adet güvenlik açığı tespit edildi. Güvenlik açıklarıyla kurbanın sistemi üzerinde dinleme ve tehlikeli hatalar yaratılabiliyor. İlk güvenlik açığı kurbanın bilgisayarına çok uzun isime sahip bir dosyayı indirmesiyle oluşabiliyor. Bu sayede hafıza taşması ve sonucunda dışardan kod çalıştırılması mümkün oluyor.
Diğer güvenlik açığı ise adres bar üzerinde dışarıdan müdahale ile yapılan aldatmaca. Güvenilir bir sayfayı açtığınızı düşünürken aslında arka planda başka bir sayfaya yönlendirilmeniz mümkün olabiliyor.
Güvenlik açıkları şimdilik 3.1 ve alt sürümler için onaylandı.
Özel hazırlanmış .xsl dosyalarıyla, Microsoft Excel'de güvenlik açığı oluşturulduğu bildirildi. Kritik olarak bildirilen güvenlik açığı, dosyanın hedef bilgisayarda aktif edilmesi ile uzaktan kod çalıştırılmasına imkan sağlıyor. Buna göre Excel'de bulunan; veri doğrulama kayıtları, dosya hazırlama sistemi, düzen kayıtları, formüller, zengin metin editörü, bazı düzenleme operatörlerinde hatalar barındırmakta.
Etkilenenler:
ICQ'da son kullanıcıyı tehdit eden bir güvenlik açığı tespit edildi. Saldırganların güvenlik açığı ile hedef sistemde DoS (denial of service) saldırıları yapması ya da sistemin ele geçirilmesi mümkün olabiliyor. Güvenlik açığının 'format string' hatasından kaynaklandığı ve HTML mesajları alırken ya da iletirken ortaya çıktığı belirtildi.
Saldırganın özel hazırlanmış bir kodu kullanıcıya göndermesiyle oluşan saldırı ICQ 6 build 6043 versiyonu ve daha eski versiyonlarında geçerliliğini koruyor.
Çözüm:
Şuan için herhangi bir yama bulunmamaktır. Güvenlik uzmanları 'sadece izinli listemdeki kullanıcılar mesaj atsın' özelliğinin aktif edilmesini ve güvenilmeyen kullanıcıların listelerden silinmesini tavsiye ediyor. Ayrıca 'bilmediğim kişilerden gelen mesajları açmadan önce bana sor' seçeneğide saldırının engellenmesinde etken olabilir.
Son yorumlar
5 gün 13 saat önce
1 hafta 2 gün önce
1 hafta 2 gün önce
1 hafta 4 gün önce
1 hafta 6 gün önce
3 hafta 3 gün önce
3 hafta 4 gün önce
4 hafta 1 gün önce
4 hafta 3 gün önce
5 hafta 2 gün önce