İnce Satırlar
Liste Modu
Döşeme Modu
Sade Döşeme Modu
Blog Modu
İnternet dünyasında siber saldırılara en fazla maruz kalan platform ünvanını elinde tutan Yahoo, henüz sistemindeki tüm açıkları kapatabilmiş değil. Son olarak resim işleme yazılımında ortaya çıkan bir açık firmayı zor durumda bıraktı.
Yine Yahoo
Araştırmacı Chris Evans tarafından geçtiğimiz haftaya ortaya çıkartılan bir açık, kullanıcıların özel Yahoo Mail görsellerine erişilmesine imkan tanıyordu. Yahoo da açığn bulunduğu yazılımı tamamen emekliye ayırmaya karar verdi.
Yahoobleed 1 adı verilen bu açık, pek çok çevrim içi sunucunun resimleri işlemek için kullandığı ImageMagick açık kaynak görüntü işlemcisinde yer alıyor. ImageMagick normalde başlatılmamış görsel şifre çözme belleğini kullanarak kullanıcıların görsellerini izlemelerini sağlıyor ancak bu yöntem sunucu taraflı belleğin sızdırılmasına yol açıyor. Bu nedenle yöntem gizli kalabiliyor ve sunucu da çökmemiş oluyor.
Evans, açığı göstermek adına 18-bitlik bir işlem dosyasını Yahoo Mail üzerinden kendisine göndermiş. Resmi önizleme panelinde açmaya çalıştığında ise dosya açıktan faydalanarak diğer hesapların görsel dosyalarına erişebilmiş. Evans, RLE uzantılı görsel formatının açığa neden olduğunu belirtiyor.
Raporlar Yahoo’ya gönderildikten sonra Evans toplamda 28 000$ ödül almış ancak bunun hepsini bir insani yardım kuruluşuna bağışlıyor. Yahoo ise açığı yamadı ve ImageMagick kütüphanesini emekliye ayırmaya karar verdi.
istediğiniz zaman (çevrim dışı bile) okuyabilirsiniz:
Bana çok korkutucu geliyor bunlar.