Chrome apar topar bir güvenlik güncellemesi geçirdi ve Google suçladı: Chrome açığı MS'in hatası!
Chrome geçtiğimiz günlerde çok kritik bir güvenlik açığı sorunu nedeniyle 1.0.154.58'e yükseldi.Komik yan ise, Google 'a göre suçlu MS. Daha komik yan ise IE'nin bu açıktan etkilenmemesi.
Sorun özel olarak hazırlanmış HTML sayfalarında UXSS (Universal cross-scripting) ile kullanıcılar IE'yi kullanırken, hazırlanan sayfa ile kullanıcı dokunmadan Chrome'u otomatik çalıştırabiliyor. Yani kısaca, sorunun işlemesi için Chrome'un varsayılan tarayıcı olması ve kullanıcının saldırgan sayfayı IE6 ve öncesi tarayıcılarla gezmesi gerekiyor.
Bu sorun Mozilla tarafından Firefox'un 2.0.0.4 önceki Firefox sürümlerinde bulunmuş, 2007 yılında Firefox'ta düzeltilmişti.
Peki 2009 yılında Chrome'daki aynı durum nasıl oluşuyor?
Suç Google'da mı,Microsoft 'ta mı?
Google'a göre hatanın tanımı tercümesi ile şu:
"MSIE'nin bilinen salaklığı yüzünden dışarıya gönderilen "chromehtml" protokolü gibi URI'ler yeterli filtreden geçirilmeden gönderiliyor"
Bir başka deyişle, Chrome'un gelen URI'leri kontrol etmesi gereken URI denetleyicisi kontrolü yapmıyor, MSIE'nin Chrome için tanımlanan URI gönderimlerini filtrelemesi bekleniyor ve geçersiz veya hatalı URI göndermelerini direk kabul ediyor.
Asıl sorun da burada: URI gönderimleri sadece IE tarafından yapılmıyor. Quicktime, Flash ve diğer eklentiler de bu URI'leri gönderebiliyor. Firefox'un 2007 yılında düzelttiği aynı açığın kaynağı QuickTime'dı.
Sorun özel olarak hazırlanmış HTML sayfalarında UXSS (Universal cross-scripting) ile kullanıcılar IE'yi kullanırken, hazırlanan sayfa ile kullanıcı dokunmadan Chrome'u otomatik çalıştırabiliyor. Yani kısaca, sorunun işlemesi için Chrome'un varsayılan tarayıcı olması ve kullanıcının saldırgan sayfayı IE6 ve öncesi tarayıcılarla gezmesi gerekiyor.
Bu sorun Mozilla tarafından Firefox'un 2.0.0.4 önceki Firefox sürümlerinde bulunmuş, 2007 yılında Firefox'ta düzeltilmişti.
Peki 2009 yılında Chrome'daki aynı durum nasıl oluşuyor?
Suç Google'da mı,
Google'a göre hatanın tanımı tercümesi ile şu:
"MSIE'nin bilinen salaklığı yüzünden dışarıya gönderilen "chromehtml" protokolü gibi URI'ler yeterli filtreden geçirilmeden gönderiliyor"
Bir başka deyişle, Chrome'un gelen URI'leri kontrol etmesi gereken URI denetleyicisi kontrolü yapmıyor, MSIE'nin Chrome için tanımlanan URI gönderimlerini filtrelemesi bekleniyor ve geçersiz veya hatalı URI göndermelerini direk kabul ediyor.
Asıl sorun da burada: URI gönderimleri sadece IE tarafından yapılmıyor. Quicktime, Flash ve diğer eklentiler de bu URI'leri gönderebiliyor. Firefox'un 2007 yılında düzelttiği aynı açığın kaynağı QuickTime'dı.
öğretmenin sürekli takip ediyor. yani okunuyorsun :) bununla birlikte yeni site de açsan orayı da takip ederiz.
YanıtlaSilbununla birlikte firefox bu hata içün microsoftu suçlamayıp, googleın böyle bir savunma yapması kafamda soru işareti oluşturmaktan öte birşey yapmadı.