icerige gec
Ana sayfa

Güvenlik Açıkları

Kritik Flash güncellemesi 12 güvenlik açığını kapatıyor

Kasım 13, 2011 yazan ErtanKurt

Adobe firması Flash Player yazılımı için bir düzine güvenlik açığını kapatan kritik yazılım güncellemesi çıkardı. Güncellemeler Flash'in Windows, Mac, Linux, Solaris ve Android sürümleri ve Adobe Air için çıkarıldı.

Yama Windows, Mac, Linux ve Solaris sistemlerdeki Flash Player 11.0.1.152 ve öncesi sürümleri ve Android için Flash 11.0.1.153 ve öncesini güncelliyor. Güvenlik açıkları, kötü amaçlı web sitelerinin bilgisayarınıza kolayca yazılım kurabilmesini veya hack edebilmesine izin verdiği için, kritik olarak derecelendirilmiş.

Microsoft Applocker açığı için yama çıkardı

Kasım 10, 2011 yazan ErtanKurt

Microsoft en son işletim sistemlerinde yetkisiz kullanıcıların güvenlik önlemlerini aşmasına izin veren güvenlik açığı için geçici yama çıkardı.

Cisco IOS NAT güvenlik açıkları

Eylül 29, 2011 yazan ErtanKurt

Cisco IOS yazılımı ağ adres çevirme (NAT) özelliği aşağıdaki protokollerin çevriminde çeşitli servis kullanımı engelleme (DoS) açıklarından etkileniyor:

  • NetMeeting Directory (Lightweight Directory Access Protocol, LDAP)
  • Session Initiation Protocol (Birden fazla güvenlik açığı)
  • H.323 protokolü

Etkilenen Ürünler
=============
Cisco IOS yazılımı çalıştıran ve aşağıdaki özelliklerden birinin desteği açık, NAT yapacak şekilde konfigüre edilmiş cihazlar bu açıklardan etkileniyor:

Adobe Flash'ta 80 yazılım hatası

Ağustos 17, 2011 yazan ErtanKurt

Adobe en son sürüm Flash Player'da bir Google araştırmacısının bulduğu 80 hatanın düzeltildiğini söyledi. Google güvenlik mühendislerinden Tavis Ormandy 400 hata raporlamıştı.

Google'da Adobe ile aynı rakamı söyleyerek mühendisi ile Adobe arasındaki tartışmayı sonlandırmayı hedeflemiş olmalı.

Adobe ve Google blog yazılarında 400 rakamının nasıl 80'e indirildiği detaylı olarak yazıyor.

http://blogs.adobe.com/asset/2011/08/how-did-you-get-to-that-number.html
http://googleonlinesecurity.blogspot.com/2011/08/fuzzing-at-scale.html

Dropbox for Android güvenlik açığı

Ağustos 16, 2011 yazan ErtanKurt

Android için olan Dropbox uygulamasında bazı güvenlik kısıtlamalarının aşılabildiği rapor edildi.

Dropbox for Android

Android uygulamaları birbirleriyle IPC endpoint'leri olarak da bilinen program özelliklerini export ederek haberleşme özelliğine sahip. Bu tüm kurulabilir uygulama paketlerinin bir parçası olan AndroidManifest.xml dosyasında tanımlanıyor.

Microsoft Güvenlik Güncellemeleri Ağustos 2011

Ağustos 10, 2011 yazan ErtanKurt

Ağustos ayı Microsoft güncellemesi 13 bültenden oluşan büyük bir güncelleme. Bunlardan önemli ve uzaktan exploit edilebilen bazıları:

ShopPHP v2.x SQL Injection Açığı ( shopphpv2 yeni )

Temmuz 8, 2011 yazan homeros

24 Temmuz 2010 yılında bulduğum daha önceki versiyonlarında  mevcut olan sql injection açığı giderilmiş fakat bu sefer buffer overflow yöntemi ile sistem tekrar injection edilebiliyor.

Yazılımcılarına olan saygımdan ötürü açığın tam açıklamasını vermeyeceğim fakat çıktısı aşağıdaki gibi :

URL : http://shopphpv2.shopphp.net/demoshop-gamer-????????? (Silindi)

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1 Query :select name from kategori where ID=

Haber-sistemi Haber Scripti v3 XSS Açığı

Temmuz 8, 2011 yazan homeros

Haber Sistemi scriptinin v3 versiyonunda, Firma Rehberinde arama alanının gerektiği gibi süzülmeden sorguya dahil ediliğinden XSS açığı içerdiğini tespit ettim. Açığı test etmek için klasik <script>alert(Document.Cookie)</script> parametresini kullandığımızda site bize o anki PHPSESSID' yi döndürüyor.

Biraz daha ileri gidilip SQL üzerinde injection da çıkarılabilir diye düşünüyorum. Site yetkilileri umarım bu açığı kısa zamanda düzeltirler...

URL : http://www.haber-sistemi.com/v3/firma-rehberi/firmaara.html

 

Chrome güncellemesi 27 güvenlik açığını kapattı

Mayıs 1, 2011 yazan ErtanKurt

Google Windows, Mac OS X ve Linux için olan Chrome web browser yazılımını sürüm 11'e yükselterek güncelledi.

Güncelleme Google'ın 16,000$ ödediği 11 araştırmacının rapor ettiği 17 güvenlik açığı ile birlikte toplam 27 güvenlik açığını kapatıyor. Hiçbir güvenlik açığı kritik olarak derecelendirilmemiş fakat 18 tanesi yüksek derece olarak belirlenmiş.

SANS

Mozilla Firefox 4 için ilk güvenlik güncellemesini çıkardı

Mayıs 1, 2011 yazan ErtanKurt

Mozilla Firefox 4.0 için, saldırganların windows işletim sistemlerindeki korumaları aşabilmesini sağlayan iki açığı kapatan, ilk güvenlik güncellemesini çıkardı.

Mozilla'nın açık kaynak kodlu web browser'ın en son sürümüne eklediği WebGLES grafik kütüphanelerinin ASLR'den yararlanılmadan derlendiği belirtildi. Microsoft'un Windows Vista ile sunduğu güvenlik önlemi hafıza-bozma exploit'leri tarafından yüklenen kodların hafıza adreslerini bulmasını zorlaştırıyordu.