XÜSUSİ DÖVLƏT MÜHAFİZƏ XİDMƏTİ
XÜSUSİ RABİTƏ VƏ İNFORMASİYA
TƏHLÜKƏSİZLİYİ DÖVLƏT AGENTLİYİ

KOMPÜTER İNSİDENTLƏRİNƏ QARŞI MÜBARİZƏ
MƏRKƏZİ

İnsident bildir

Bugtrack

  • Proqramın adı: FreeDisk v1.01 iOS - Multiple Web Vulnerabilities
  • İstehsalçının veb səhifəsi:
  • Təhlükə: Orta
  • Təsviri:

    Boşluq cari mobil web applikasiyasında qeydə alınmışdır.

    LFİ açığı ilə hücüm edən şəxsə icazəsiz olaraq local fayl include eymək üçün şərait əldə edir.

  • Proqramın adı: Windows üçün Safari-də etibarsız SGV mətn stili Webkit.dll-də DOS zəyifliyi
  • İstehsalçının veb səhifəsi:
  • Təhlükə: Orta
  • POC:  Yüklə
  • Təsviri:

    Windows üçün Safari brauzeri xidmət təkzibinə meylli zəifdir, Safari çox uzun şrift ölçüsü mətni stili ilə SGV təsvirini verməyə cəhd edəndə bu problem webkit.dll-ə təsir göstərir və qəzaya səbəb olur.

  • Həlli:

    İstehsalçının vebsaytı ilə ən axırıncı versiyanı yükləyin.

  • Proqramın adı: Apple Safari-də informasiya üzə çıxarması və kod icrası zəiflikləri
  • İstehsalçının veb səhifəsi:
  • Təhlükə: Yüksək
  • Təsviri:

    Zəiflik və təhlükəsizlik problemləri həssas informasiyanın üzə çıxarmasına gətirə bilər və ya istifadəçinin sistemini təhlükə altında qoymaq üçün pisniyyətli şəxslər tərəfindən istismar edilə bilən Apple Safari-də aşkar edilmişdirlər.

    1. İşlənmə pop-up pəncərəsindən istifadəçi xüsusilə emal edilən veb-səhifəyə səfər edəndə zaman səhvdən sonra istifadə əsassız kodu yerinə yetirmək üçün istismar edilə bilər.
    2. HTTP əsaslı autenfikasiyasını tələb edən əgər veb-səhifə müxtəlif domenə (məsələn "Location" başlığı vasitəsilə) təzə adresə göndərirsə Safari HTTP sorğusunda HTTP əsaslı autenfikasiyası məlumatı özündə saxlayır.

    Zəiflik və təhlükəsizlik problemləri Windows üçün versiya 4.0.5-də təsdiq edilir. Başqa versiyalara həmçinin təsir göstərilə bilər.

     

  • Həlli:

    JavaScript-i söndürün. Müxtəlif domenlərə HTTP əsaslı autenfikasiyasından və istifadə yenidən təyin etlərindən istifadə edən saytlara əslini təsdiq etməyin.

  • Proqramın adı: Apple Safari "parent.close()" funksiyada kənar kod icrası zəifliyi
  • İstehsalçının veb səhifəsi:
  • Təhlükə: Yüksək
  • POC:  Yüklə
  • Təsviri:

    Zəiflik istifadəçinin sistemini təhlükə altında qoymaq üçün pisniyyətli şəxslər tərəfindən istismar edilə bilən Apple Safari-də aşkar edilmişdir.

    Zəifliyə valideyn pəncərələrinin işlənməsində səhvə görə səbəb olunur və etibarsız göstəricidən istifadə edən funksiya çağırışı ilə nəticələnə bilər. İstifadəçi məsələn xüsusilə emal edilən veb-səhifəyə səfər edəndə bu əsassız kodu yerinə yetirmək üçün istismar edilə bilər və açılan pəncərələr sıçrayır.

    Zəiflik Windows üçün Safari versiyası 4.0.5-də təsdiq edilir. Başqa versiyalara həmçinin təsir göstərilə bilər.

    Zəiflik anlayışın bu sübutunu bölmüş Polşa tədqiqatçısı Krystian Koskowski tərəfindən aşkar edildi. Secunia "kritik" zəifliyini, onun beş sıra ciddiliyi miqyasında saniyə ən yüksək qiyməti qiymətləndirdi. US CERTi deyilən tədqiqatçıları həmçin zəifliyi təsdiq etdilər.

  • Həlli:

    Etibarsız veb-saytlarına səfər etməkdən baş çəkin.

    Apple məlumatlara izahat verməmişdir. Yamaq buraxılana qədər, təhdid javascript-i söndürmək ilə azaldıla bilər, CERT dedi.