Açık sayesinde, saldırganlar Microsoft Internet Explorer (IE) içindeki InfoTech Storage (ITS) protokol takipçisini atlatabiliyor ve başka bir domain’den aldığı kodu kullanarak kurbanın makinasında çeşitli öncelikleri elde edebiliyor.
Microsoft’ın aylık güvenlik bülteninin, bu ay salı günü yayınlaması bekleniyor. Şirketin bir sözcüsü, bültende CERT’in belirttiği açık hakkında bilgi olup olmayacağını, ya da benzer bir açık için ağustosta yayınlanan yamanın kullanılıp, kullanılmayacağını hemen söylemenin mümkün olmadığını söyledi.
CERT özel bir URL kullanıldığında, saldırganın başka web sitelerine erişebildiğini ve oradan bir script alarak çalıştırabildiğini söylüyor. Bu durumda, o web sitesindeki bilgilerin çalınabilmesi ya da o web sitesinin dahil olduğu network’ü kırmak mümkün olabiliyor.
Açık için yama çıkana kadar Opera ya da Netscape gibi başka bir tarayıcı kullanarak korunmak mümkün. Ama CERT, ITS protokollü URL’lerin kullanımında IE kullanılarak ulaşılan tarayıcıların da muhtemelen aynı açığa karşı zayıf olacaklarını düşünüyor. Ayrıca ActiveX kontrolü ya da IE’nin HTML rendering motorunu (MSHTML) kullanan her uygulamada açığın geçerli olabileceği sanılıyor –örnek olarak OutLook ya da OutLook Express verilebilir–.
Uzmanlar “Active scripting ve ActiveX kontrollerini iptal etmek, kodların, applet’lerin, Windows bileşenlerinin fonksiyonalitesini azaltır ve sadece bazı saldırı türlerini önler” diyorlar.
Ancak kullanıcı ve network yöneticileri, registry entry içinden “HKEY_LOCAL_MACHINESOFTWAREClassesPROTOCOLSHandler” seçeneğinde “ms-its,” “msitss,” ve “its,mk” değerlerini disable yaparak önlem alabilirler.
Genel olarak –centilmenlik gereği–, üretici firma açığı tamir edecek yamayı çıkarmadığı sürece açık anonsu yapılmıyor. Çünkü aksi takdirde cracker’lar fırsatı değerlendiriyorlar. Ancak bu sefer CERT böyle yapmadı çünkü açık aylardır var ve Microsoft’un bu açığı düzeltmek için yavaş davrandığı düşünülüyor.
CERT tarafından yayınlanan dökümanda W32/Bugbear, BloodHound.Exploit.6 ve Ibiza trojan’ın aynı açığı yani ITS Protocol Handler açığını kullandıkları vurgulandı. Anti-Virüs programını güncel tutanların nispeten emniyette olacağı sanılıyor. Ama bilindiği gibi, virüs yazıcılarının da kodlarını sürekli olarak geliştirdikleri bir gerçek.
Yetkililer, kullanıcıların belli bir HTML sayfasını açmak için kandırılabileceğini söylüyorlar. Bu belli bir siteyi çekici hale getirmek ya da e-mail mesajları içine tıklanacak bir link koymak şeklinde olabiliyor. Bu nedenle, e-maillerle, anında mesajlaşma programlarıyla, web forumlarında ya da IRC’de gelen bilinmeyen linklerin tıklanmaması tavsiye ediliyor.
Microsoft son zamanlarda çapraz domain açıkları ile uğraşıyor. Bu seferki açığa benzer bir açığın yaması en son 2003 ağustos ayında yayınlanmıştı.

Kaynak : 