Güvenlik Açıkları ve Yama Duyuruları

Sanalhaydut35½ · 7 May 2008

Güvenlik Açıkları ve Yama Duyuruları
Güvenlik forumlarından düzenli olarak aldığımız Microsoftun resmi güvenlik açık bültenleri ve diğer konularla ilgili tüm açıkları, yayınlanan yamaları burdan takip edebilirsiniz.

Sanalhaydut35½ · 7 May 2008

Mozilla, Firefox, Thunderbird ve SeaMonkey yazılımlarındaki kritik güvenlik açıkları için yama çıkardı ve yamayı geçmeyen kullanıcıların bilgisayarlarının kontrolünü başkalarının ele geçirebileceği konusunda uyardı.

Firefox güncellemesi 1.5x sürümleri için geçerli. Mozilla, Firefox güncellemelerinin 24 Nisan 2007 tarihine kadar çıkarılacağını fakat bu tarihten sonra sadece Firefox 2 için çıkarılacağını duyurdu.

Yeni sürümü aşağıdaki linkten indirebilirsiniz.
Tıklayın

Kaynak;
Eweek

Sanalhaydut35½ · 7 May 2008

Eski İnternet Explorer Açığı IE'7 de Tekrar Ortaya Çıktı.
Önceki IE sürümlerini etkileyen ve browser penceresi içeriğinde değişiklik yapılabilmesine izin veren açığın IE 7'nin son sürümlerini etkilediği rapor edildi.

Aralık 2004'den beri Internet Explorer sürümlerinde görülen bu açık Olta saldırılarında (Phishing) ve kimlik hırsızlığında kullanılabiliyor.
Açığı kritik olarak değerlendiren güvenlik sitesi Secunia "problem eğer browser hedef penceresinin ismi biliniyorsa bir web sitesinin bu pencere içeriğine ekleme yapabilmesinde" diyor.

Açığın örnek kullanımı aşağıdaki adreste görülebilir:
Tıklayın

Bir Microsoft sözcüsü firmanın bunu bir güvenlik açığı olarak değerlendirmediğini söyledi:
"Secunia popüler web browser'lardaki dizayn-gereği bir davranış olan, bir web sitesinin pop-up pencere açabilmesi veya tekrar kullanabilmesini söylüyor. IE 7'de web sayfasının gerçek URL'si kullanıcıların karar verebilmesi için pop-up penceresi adres çubuğunda gösteriliyor."

Bu açık IE 7'nin Ekim 19'da çıkmasından beri 3. güvenlik problemi. Browser'ın çıktığı gün güvenlik araştırmacıları bir bilgi görüntüleme açığı tespit etmişti fakat Microsoft açığın Outlook Express'de olduğunu ve Internet Explorer açığı olmadığını söylemişti.

3. problem ise olta saldırılarında kullanılan ve URL'ye bazı özel karakterler ekleyerek adres çubuğundaki adresin farklı gösterilebilmesini sağlayan bir açıktı.

Bu açığın exploit kodu aşağıdaki adreste görülebilir:
Tıklayın

Kaynak;
Eweek

Sanalhaydut35½ · 7 May 2008

Drake CMS V. 0.2
Author: CorryL x0n3-h4ck.org
-=[-----------------------------------------------]=-

-=[+] Uygulama: Drake CMS
-=[+] Version: 0.2
-=[+] Sağlayıcı URL: https://tik.lat/FIGZu
-=[+] Platform: Windows\Linux\Unix
-=[+] Açık Tipi: XSS,Full Patch Diclouse
-=[+] İşletim: Uzak/Yerel
-=[+] Oluşturan: CorryL ~ corryl80[at]gmail[dot]com ~
-=[+] Referans: www.x0n3-h4ck.org [url]https://tik.lat/Wubav

..::[ Tanımlama ]::..

Drake CMS dinamik bir web yazarlığı ve içerik yönetim sistemidir, birkaç dakika içinde kurulabilir , hemen hemen bütün veritabanları iç içe geçmiş düz dosya veritabanları ile desteklidir..En önemli özellikleri güvenlik hız yönetiminin kolay olması ve yüksek kişileştirilmesidir.

..::[ Açık ]::..

CMS izlenecek yolun ortaya çıkarmasını sağlayan Cross-site script (RSS) açık çeşidi bağıdır.Uzaktan sisteme giren kişi bu hassas noktaları ve bilgileri ele geçirme imkanına sahiptir.

..::[ Kavramın Kanıtı ]::..
1°) Cross-Site script (xss) Açık Yolu
PHP Kodu:

/index.php?option=contact&Itemid=10&task=category&i d=<ScRiPt%20%0a%0d>alert(764606807)%3B</ScRiPt>

2°) Bu Yolu Ortaya Çıkaran Link
/classes/simplecaptcha/captcha.png.php

..::[ Geçici Çözüm ]::..
https://tik.lat/68R6Q

..::[ Zaman Çizgisi İfşaası ]::..

[01/11/2006] - Sağlayıcı Bildirim
[01/11/2006] - Sağlayıcı Cevabı
[04/11/2006] - Halk Arasında

Kaynak; Securityfocus

Sanalhaydut35½ · 7 May 2008

İ.E Güvenlik Açığı (Uzaktan Sistemde Kod Çalıştırmak)
Internet Explorer'daki güvenlik açığı uzaktan sistemde kod çalıştırılmasına izin veriyor.

Saldırganlar özel olarak sıkıştırılmış bir URL hazırlayarak bu URL yi web sunucusundan HTTP 302 yönlendirme mesajı ile döndürdüklerinde URLMON.DLL'de hafıza taşmasına yol açabiliyor ve hedef sistemde istedikleri kodu çalıştırabiliyorlar. Kod aktif kullanıcının hakları ile çalışıyor.

Açık Microsoft'un MS06-042 yamasının ikinci sürümünde (24 ağustos 2006) ortaya çıkarmıştı.

MS06-042 v1 veya v2 yaması geçili, Windows 2000, Windows XP SP1, Windows 2003 üzerindeki IE6 SP1 açıktan etkileniyor. Ayrıca MS06-042 yaması geçilmiş olan Windows 2000 üzerinde çalışan IE5 SP4 bu açıktan etkileniyor.

Çözüm:
12 Eylül 2006'da Microsoft MS06-042 yamasını güncelledi ve tekrar çıkardı. Windows güncelleme sitesinden veya aşağıdaki bağlantı adreslerinden temin edilebilir.

Internet Explorer 5.01 Service Pack 4 on Microsoft Windows 2000 Service Pack 4:
Tıklayın

Internet Explorer 6 Service Pack 1 on Microsoft Windows 2000 Service Pack 4 or on Microsoft Windows XP Service Pack 1:
Tıklayın

Internet Explorer 6 for Microsoft Windows XP Service Pack 2:
Tıklayın

Internet Explorer 6 for Microsoft Windows Server 2003 and Microsoft Windows Server 2003 Service Pack 1:
Tıklayın

Internet Explorer 6 for Microsoft Windows Server 2003 for Itanium-based Systems and Microsoft Windows Server 2003 with SP1 for Itanium-based Systems:
Tıklayın

Internet Explorer 6 for Microsoft Windows Server 2003 x64 Edition:
Tıklayın

Internet Explorer 6 for Microsoft Windows XP Professional x64 Edition:
Tıklayın

Kaynak;
Securitytracker
Referans;
Microsoft

Sanalhaydut35½ · 7 May 2008

Microsoft Patch Tuesday güncellemesinde 3 kritik açık için de yamalar içeren 7
Microsoft Patch Tuesday güncellemesinde 3 kritik açık için de yamalar içeren 7 adet güvenlik bülteni yayınladı.

Microsoft Windows, Visual Studio, Microsoft Outlook Express, Microsoft Media Player ve Microsoft Internet Explorer güvenlik açıkları için yamaların içerildiği, toplam 11 yama çıkarıldı.

Açıklardan en önemlileri saldırganların uzaktan hedef sistemde istedikleri kodu çalıştırabilmelerine veya servislerin kullanımını engelleyebilmesine yol açıyor.

Kullanıcılar sistemlerini Microsoftupdate sitesinden güncelleyebilirler.
Sistem yöneticileri güvenlik bültenlerine aşağıdaki adresten erişebilirler:
Tıklayın

Kaynak: Cert Advisory
Referanslar: http://www.microsoft.com/technet/sec.../ms06-dec.mspx
http://www.microsoft.com/technet/sec.../ms06-dec.mspx
http://www.microsoft.com/windowsserv...s/default.mspx
http://www.microsoft.com/mac/downloa...004_11.3.1.xml
http://www.microsoft.com/mac/downloa...12_12_2006.xml

Etkilenen Sistemler
Etkilenenler:

Microsoft Windows
Microsoft Visual Studio
Microsoft Outlook Express
Microsoft Media Player
Microsoft Internet Explorer
Microsoft Office 2004 for Mac
Microsoft Office v. X for Mac

Kaynak; Cert Advisory
Çeviri; AyYüce

Sanalhaydut35½ · 7 May 2008

Veri Tabanı Hırsızlığı
UCLA, veritabanında bilgileri bulunan 800,000 kişiyi uyarıyor.

800.000 Öğrenci ve personelin bilgileri alınmış.
Bu bilgiler, Sosyal Güvenlik Numaraları, Doğum Tarihleri ve Adresleri içeriyor.

UCLA' herhangi bir veri değiştirilmediğini söylüyor,

Kampüs Bilgisayar Sistemini kıran Hacker'lar veritabanına erişime Ekim 2005 yılında başlamışlar ve Bilgisayar güvenlik tenkisyenleri 21 Kasım 2006 tarihinde veritabanında şüpheli sorguları görene kadar devam etmişler...

UCLA veritabanının , Kredi kartı, Sürücü Lisansı gibi bilgileri içermediğini söylüyor...

Ayrıca UCLA, Saldırganların sofistike yazılımlar kullandığı ve özel bir açıktan faydalanarak sisteme girdiklerini söylüyor.

Kaynak: Newsroom

Köstebek-02 · 7 May 2008

eyvallah babcan bilgi için sağolll

Sanalhaydut35½ · 7 May 2008

Tanımlanmamış Trojan Loader
Rastlanma Tarihi: 14-12-2006

Yayılma yöntemi:
Zararlı dosya kariyer.net'ten gelen sahte bir email yoluya yayılmaktadır. Yakalanan örnek sahte e-mail; "[email protected]" adresi ve "selam" subject'i bilgisi ile, Turk Telekom'un Gayrettepe ADSL portuna bağlı 88.233.33.192 ip'si ile gonderilmiştir.

Mail içeriği de şu şekildedir:

"Merhaba kariyer net sitesindeki ilaniniz icin bu maili yaziyorum aradiginiz vasiflara uygun oldugumu
dusunuyor ve is talebinde bulunuyorum cvmi isikdeki dosyadadir..
ilginiz icin tesekkur ederim..

NOT: Seyehat engelim yoktur (yurt disi da olmak uzere)

iyi calismalar dilegiyle.

Nur KARAYEL
CV ve resimlerimin devami icin resime tiklayin."

İlgili resime tıklanıldığında; "www.freewebtown.com/nurkarayel/cv-resimlerim.zip" adresinden dosya indirme işlemi yapılmakta, indirilen zip dosyası içerisinde, kendini açan-çalıştırılabilir (self decompress-executable) dosya görüntüsündeki cv.exe dosyası bulunmaktadır.

cv.exe dosyası bir antivirus yazılımlarının halen tanımlayamadığı bir trojan loader olarak çalışmakta ve sisteme smss.exe isimli ve Win32.Delf.tz olarak tanımlanan bir dosyayı yüklemektedir.

smss.exe dosyası keylogger, screen capturer, spyware-trojan loader olarak çalışmaktadır.

İlk çözümleme:
Cv.exe dosyası Borland Delphi ile yazılmış ve içerisine yine Borland Deplhi ile yazılmış smss.exe ve Bitlogic Software firması tarafından eğitim amaçlı açık kaynak kodlu olarak dağıtılan MouseHook.dll dosyaları gizlenmiştir. Dosya ilk kez çalıştırıldığında, "HKEY_LOCAL_MACHINE\Software" registry key'i altına "cupra" Key'i ve bu key'in de altına "checker" key'ini oluşturmakta ve değerini de 1 olarak belirlemektedir. Hemen sonrasında, smss.exe ve mousehook.dll dosyalarını "c:\windows\driver cache\Winapp\AppData\" klasörü altına kopyalamaya çalışmakta ve kopyalama işlemi biter bitmez smss.exe'yi çalıştırmaktadır.

cv.exe dosyası smss.exe'yi çalıştırdıktan hemen sonra "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" registry key'i içerisine "Winloader" isimli key'i oluşturarak değerini de "C:\WINDOWS\Driver Cache\Winapp\AppData\smss.exe" olarak berlirlemektedir.

smss.exe dosyası tüm tuş basımlarını ve internet explorer üzerindeki mouse'un sol butonuna basılma işlemlerini takip etmektedir.

Bulaşmasının anlaşılması:
- Registry üzerinde oluşturulan kayıtlar izlenerek.
- Dosya sistemi üzerinde oluşturulan dosyalar izlenerek.

Manuel Temizlenmesi ;
smss.exe isimli windows işletim sisteminin "Session Manager Subsystem" olarak adlandırılan bir parçası da vardır ve bu parça kapatılmamalıdır. Ancak zararlı yazılım olan smss.exe'si ile kullandığı bellek miktarı ile ayrılabilir. "Session Manager Subsystem" olan smss.exe dosyası genellikle 100-300 KB civarında hafıza kullanırken zararlı yazılım olan smss.exe çalışma zamanına bağlı olarak çok daha fazla miktarda bellek kullanmaktadır.
Ancak smss.exe ile oluşturulan işlem (process) task manager üzerinden kapatılamamaktadır. Bu nedenle temizlemek için öncelikle registry'deki "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Cur rentVersion\Run" içerisindeki smss.exe değerli key silinmelidir. Yakalanan örnekte bu key daima "Winloader" ismindedir.
Daha sonra windows restart edilmeli; ve "c:\windows\driver cache\Winapp\AppData\" klasörü altındaki "smss.exe", "MouseHook.dll", varsa "ioerrors.txt", ve "img" klasörü silinmelidir.

Kaynak; SrLabs

Sanalhaydut35½ · 7 May 2008

Sizlerdende bilgi istiyorum

Sanalhaydut35½ · 7 May 2008

Not; Kesinlikle konu altına tebrikler teşekkürler gibi açıklarla ilgili olmayan mesajlar atmayınız.

indefinabLe · 7 May 2008

Sanalhaydut35½' Alıntı:
Sizlerdende bilgi istiyorum

teşekkrüler haydut
bende araştırıp 3-5 bilgi eklicem

selametle

BLuєćяσwηz · 21 Haz 2008

biLgi için sağoL aLiii...

Güvenlik Açıkları ve Yama Duyuruları

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

Köstebek-02

Yaşayan Forum Efsanesi

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

Sanalhaydut35½

Kıdemli Üye

indefinabLe

Katılımcı Üye

BLuєćяσwηz

Uzman üye

Sosyal medya sayfalarımız