Internet Explorer 7′de birinci haftasında güvenlik açığı ortaya çıktı
Henüz geçtiğimiz hafta kullanıma sunulan Windows Internet Explorer 7′nin daha ilk haftası dolarken, güvenlik uzmanlarının bu programda tespit ettiği bir güvenlik açığı büyük sürpriz yarattı.
Gelişim aşamasında en önemli hedeflerinden birinin “phishing” saldırılarının önüne geçmek olan IE7′de kötü niyetli kişiler “phishing” filtresini yanıltarak saldırı gerçekleştirme imkânına sahip.
Güvenlik denetimi şirketi Secunia’nın ortaya çıkardığı güvenlik açığında IE7, sahte web adresine sahip sayfaların pop-up pencerede açılmasına izin veriyor. Bu açığı kullanan bir saldırgan, kullanıcıları kandırarak gerçek ve güvenilir sandıkları bir site yerine, sahte bir siteye yönlendirebiliyor.
Secunia bu iddiasının küçük bir gösteri ile kanıtladı. Hazırlanan gösteride, pop-up penceresinde Microsoft’a ait bir adres görünürken, içerik bölümünde ise Secunia’ya ait bir sayfa görünüyordu.
Microsoft’tan bir temsilcinin yaptığı açıklamaya göre problemin kaynağının Web adreslerinin adres çubuğunda gösterilme şeklinden kaynaklandığı belirtildi. Temsilciye göre, bu özelliği kullanan bir saldırgan özel formatlanmış bir web adresi hazırlayarak, kullanıcıları kandırıp istediği siteye yönlendirebilir.
Microsoft’un söylediğine göre, Web adresinin sol kısmı popup pencere tarafından engelleniyor. Fakat, Secunia’ya göre, tarayıcı penceresine ya da adres çubuğuna tıklanıp fare sürüklendiğinde bütün Web adresi görüntülenebiliyor. Secunia’nın yapmış olduğu gösterimde Secunia’ya ait olan sayfanın Web adresi aslında adres çubuğunda bulunuyordu ve Secunia’nın iddia ettiği yöntemle bu adres ortaya çıkarılmıştı.
Microsoft’a göre eğer sahte bir Web sitesi, Microsoft’un tanıdığı “phishing” sitelerinden biri ise, sözü edilen saldırıyı gerçekleştirme imkânı bulunmuyor. IE7′de bulunan “phishing” kalkanı bu siteleri anında tanıyarak kullanıcıları muhtemel bir tehlikeye karşı uyarıyor. Şirkete göre, şu ana kadar, belirtilen güvenlik açığından dolayı bir herhangi bir saldırı gerçekleşmedi.
IE7′nin tasarım aşamasında güvenlik en önemli unsur olarak gözetiliyordu. Bu hususta en önemli özelliklerden birisi olan “phishing” filtresi ile, kullanıcıları yanıltarak onların kişisel bilgilerini ele geçirmeye çalışan saldırganların önüne geçmek amaçlanmıştı.
Secunia tarafından “düşük tehlikeli” olarak tanımlanan güvenlik açığı ayrıca üçüncü kişilerce ortaya çıkarılan ilk önemli kusur olma özelliğini taşıyor.
Ayrıntılı bilgi için: http://secunia.com/advisories/22542/
İlgili Haberler
- Internet Explorer 7 çıktı...
- Internet Explorer 7: WGA’sız kurulum...
- Internet Explorer’daki güvenlik açığı için acil yama yayınlandı...
- Internet Explorer hayaletlerden korkuyor...
- Talep: Internet Explorer devre dışı kalsın...
- Vistada ilk güvenlik açığı çıktı...
- Internet Explorer 8 Beta sürümü indirilmeye hazır...
- Safari yükselirken Internet Explorer düşüyor...
- Microsoft, Internet Explorer 8′i tanıtacak...
- Web siteniz Internet Explorer 8′e hazır mı?...
