Microsoft`un sitesindeki açık
--------------------------------------------------------------------------------
Microsoft tarafından yönetilen ve yazılım geliştiricileri için olan bir depo bugün gelen raporlara göre güvenlik açıkları nedeniyle kapalı idi. Raporlar güvenlik açığının ziyaretçilerin sitenin kontrolünü ve müşteri bilgilerini ele geçirebildiğini belirtiyor.
Bugün güvenlik mesaj listelerine duyuru yapan Arjantinli bir güvenlik araştırmacısına göre color=#0000ff
http://developerstore.com adresindeki ’Microsoft Developer
Store’da kullanıcıların Microsoft SQL veritabanı içerisinde arama yapabilmelerine izin veren script güvenli yazılmamıştı.
Vuln-Dev mesaj listesine mesaj gönderen Cesar Cerrudo`ya göre açığın sonucu olarak kötü amaçlı kullanıcılar Microsoft sunucusunun istenen herhangi bir komutu çalıştırmasını sağlayabilirdi.
Vuln-Dev mesaj listesinin yöneticisi Blue Boar ’Bu klasik bir .ASP, sunucu tarafı, SQL-sunucumu-herkese-açtım tipinde bir hata’ diyor.
Blue Boar perşembe günü Cerrudo`nun mesajını aldığında mesajı listeye hemen geçirmeden önce Microsoft`a bir kopyasını göndermiş.
Microsoft`un bir sözcüsü bu konuda şu an bir yorumları olmadıklarını belirtmiş.Bugün Microsoft`un ’Developer Store’ sitesini ziyaret edenler aşağıdaki mesaj ile karşılaştılar:
’This site is temporarily down for maintenance, please check back later.’
Blue Boar bugün Microsoft`tan açığı onayladıklarına ve güvensiz arama seçeneğini kaldırdıklarına dair bir mesaj alınca Cerrudo`nun mesajını listeye göndermiş:’Mesajı hemen geçirmediğim için bazıları bana kızacak ama listede bu bilgiyi kötü amaçlarla kullanabilecek pek çok insan var.’ ref:
ffhttp://www.newsbytes.com/news/02/173601.html