Google Bar'a Dikkat!
Dünyanýn en popüler arama motorunun, web tarayýcýsý eklentisi "Google Araç Çubuðu", çeþitli güvenlik açýklarýna sahip.
Google Araç Çubuðu'nun 1.1.58 ve daha önceki versiyonlarýný kullanan kullanýcýlar, hackerlarýn uzaktan kontrol edebileceði þu özelliklerden etkilenebilir;
tüm görsel ayarlarýn kontrolü; Araç Çubuðu'nu ele geçirme ve aramalarý yeniden yönlendirme; istenen komutu çalýþtýrabilme; yerel dosyalarýn okunmasý; Araç Çubuðunun arama bölümüne yazýlan her karakterin takip edilebilmesi; bazý kiþisel özelliklerin kurcalanmasý; Araç Çubuðu'nun geçmiþ bilgilerinin temizlenmesi ve Araç Çubuðu'nun sistemden kaldýrýlmasý.
Google, Araç Çubuðu'nun "Web'in herhangi bir yerinden bilgiye ulaþabilme kabiliyetimizi yükselttiði ve yüklenmesi sadece saniyeler sürdüðünü" söyleyerek övünüyor.
Israil'li "GreyMagic Software" adlý þirket tarafýndan yakalanan bu açýklarýn detaylarýný aþaðýda bulabilirsiniz:
* Tüm görsel ayarlarýn kontrolü -- Ayarlar bölümündeki deðiþiklerin, Google Araç Çubuðuna iþlenme metodu oldukça güvensiz. Araç Çubuðu, deðiþikliklerin kabul edilebilmesi için özel bir URL kullanýyor. Ancak, o sýrada izlenen sayfa Google.com'un veya özel res:// protokolünün dýþýndaysa, deðiþikliklerin iþlenmesine izin verilmiyor.
* Google Araç Çubuðuna birþeyler yazarken, yüklenmiþ olan döküman, tüm klavye iþlemlerini yakalayabiliyor. Bu açýktan, döküman seviyesinde basit bir "onkeydown" event handleri ayarlayarak ve girdi bekleyerek, oldukça basit bir þekilde yararlanýlabilir.
* Bazý kiþisel özelliklerin kurcalanmasý -- Araç Çubuðu ile gelen "PageRank" ve "Category" özellikleri istenilen þekilde devreye sokulabiliyor.
* Araç Çubuðu'nun geçmiþ bilgilerinin temizlenmesi -- Araç çubuðunun, yaptýðý aramalarý kaydedebilme özelliði mevcut. Ancak bu þekilde bu bilgiler silinebiliyor.
* Araç Çubuðu'nu ele geçirme ve aramalarý yeniden yönlendirme -- Araç Çubuðu, arama için "GoogleHome" adlý özel bir seçeneði kullanýyor. Bir saldýrgan, "GoogleHome" seçeneðinin tuttuðu deðeri deðiþtirdikten sonra, aranacak URL'yi de deðiþtirebilir. Bu deðiþiklik yapýldýktan sonra, yapýlan aramalar, saldýrganýn belirlediði siteye yönlendirilecektir, böylelikle saldýrganýn, yapýlan aramalarý kaydetme ve kullanýcýlarý tanýmlama þansý olacaktýr. Bunun sonrasýnda saldýrgan, kullanýcýyý "etiketleyecek" ve yaptýðý aramalara göre önüne çeþitli servisler sunacaktýr. Arama bilgisini kaydettikten sonra, arama iþlemini Google'a yönlendirerek kullanýcýnýn herhangi bir þüphe duymasýný engelleyecektir.
* istenen komutu çalýþtýrabilme -- Araç Çubuðu'nun komut mekanizmasý, komutla birlikte yollanan scriptin, o anki döküman ile ayný baðlamda çalýþtýrýlmasý ile oldukça tehlikeli bir özelliðe sahip bulunuyor. Araç Çubuðu komut mekanizmasý, iki tip URL'yi kabul ediyor; google.com'daki herhangi bir URL ve herhangi bir res:// URL'si.
Google, GreyMagic'in önerilerini yanýtladý ve çabucak yamanmýþ bir versiyonu hazýrladý. Bu "güvenli" versiyon, Çarþamba gününden itibaren, Google Araç Çubuðundaki "oto-güncelleme" özelliði sayesinde daðýtýlmaya baþlandý.
Exploit örneklerini görmek için buraya týklayýnýz.
Alýntý
![][~*~*~ DerDiGuzeL_FoRuM ~*~*~][](https://2img.net/r/ihimizer/img523/1180/pur9de61f7aa5744dbbac5.gif)
Home 
