Güvenlik araştırmacısı Plebo Aesdi Nael bir halka açık güvenlik mail listesinde 2 açık açıkladı. Bunlardan birisi hem Internet Explorer’ı hem de Mozilla tarayıcıları etkiliyor.
Araştırma firması Secunia has açığı “az kritik” olarak sınıflarken, SANS Internet Fırtına Merkezi “Ensemizdeki saçlar diken diken oldu” şeklinde tanımladılar.
HTML uygulamalarını ilgilendiren ilk açık HTML uygulamalarda. Ancak bu açığın kullanılabilmesi için kullanıcının bir ikonu tıklaması gerekiyor.
İkinci açık, “object.documentElement.outerHTML” özelliği ile ilgili.
SANS bu açık için “Bu özelliğin kötüye kullanımı durumunda saldırgan bir kullanıcının o anda baktığı web sitesindeki verileri uzaktan görebilir hale geliyor” açıklamasını yaptı.
Doğal olarak saldırganın bu verileri görmesi, onları çalması ve istediği her neyse gerçekleştirebilmesi anlamına geliyor.
Gerçi Nael’in orjinal mail listesinde sadece Internet Explorer’ın bu riski taşıdığı açıklanıyor ama SANS’ın yaptığı analiz, Firefox’un da “object.documentElement.outerHTML” açığına sahip olduğunu gösterdi.
Hem Nael hem de Secunia açığın nasıl çalıştığını gösterir delileri (PoC) yayınladılar.
Microsoft Security Response Center (MSRC)’dan Adrian Stone MSRC blog’unda Microsoft konuyu bildiğini ve araştırdığını açıkladı. Ancak Microsoft bu açığın kullanılarak saldırı yapılıp yapılmadığını bilmiyor.
Mozilla, Firefox 1.5.0.5 güncellemesini 25 temmuzda yapacağını duyurdu. Ancak bu güncellemede bahsettiğimiz açığa yamna gelip gelmeyeceği henüz bilinmiyor.

Kaynak : 