Cross-site kodlama açığı kullanıldığında pek çok sitenin phishing sızmaları için hazır hale geldiğini açıklayan NIST.org, detayları da verdi. Açık, HTML veya JavaScript içeren arama sonuçlarında, hacker’lara hem arama cihazını hem de Google mini handle’ın bazı özel karakterleri işleme şekli kullanılarak, sitelerin kullanılması mümkün hale geliyor.
Gartner analisti John Pescatore “Saldırıları kolaylaştırıyor. Artık kurbanların sahte bir web sitesi ile kandırılmasına (phished) gerek kalmıyor. Yasal bir site üzerinden işlem yapılabiliyor” diyor ve ekliyor “Çoğu yola göre bu en tehlikelisi çünkü anlaşılması zor”. Açık, Google aracında geçen yıl bulunan başka bir açıkla aynı yolu izliyor.
Google sözcüsü, açığı 22 kasımda güvenlik grubu CERT’den öğrendiklerini ve müşterilerine aynı gün bu sorunu nasıl çözebilecekleri konusunda bilgi verdiklerini söyledi.
Google risk hakkında genel açıklama yapmazken, sadece müşteri grubuna bilgi verdi. Bunun nedenini Pescatore, Google araç ve mini handle’larının müşteri kitlesinin daha kısıtlı sayıda olmasına bağlıyor. NIST sitesinin yöneticisi John Herron, Google’un hızlı hareket etmesini övgü ile karşıladı. Herron “Çoğu firma KOBİ türü müşterilerinin sorunları ve bu firmalar için tasarlanmış cihazlardaki açıkları yamamak için uğraşmıyor bile ama Google çok hızlı davrandı” diyor.
Herron Amerikan hükümetinin de bu tür açıklara karşı uyanık olduğunu ve olağaüstü durumlarda ne yapmaları gerektiğini hemen tespit edebildiklerini söylüyor. Herron “Koordineli bir yanlış bilgilendirme saldırısından korkuyorlar. İnsanlar içinde sahte bilgiler olan gerçek hükümet sitelerine yönlendirilebilirler” diyor.
Kaynak : 