Şu anda çevrimdışısınız; İnternet'in yeniden bağlanması bekleniyor

Tarayıcınız desteklenmiyor

Siteyi kullanmak için tarayıcınızı güncelleştirmeniz gerekir.

Internet Explorer'ın en son sürümüne güncelleştirin

MS02-013: Java Uygulaması Tarayıcı Trafiğini Yönlendirebilir

ÖNEMLİ: Bu düzeltme ekinin yerine şu makalede anlatılan güncelleştirme yayımlandı: 810030
Belirtiler
Microsoft sanal makinesinde (Microsoft VM), kötü niyetli bir Java uygulamasının tüm tarayıcı trafiğini kullanıcıya bildirmeksizin uygulama ana makinesine sessizce yönlendirmesine olanak sağlayan bir oturumun ele geçirilmesi güvenlik açığı bulunmaktadır. Saldırgan yönlendirilen tarayıcı trafiğini ele geçirdikten sonra, aşağıdakiler de dahil istediği işlemi veya işlemleri gerçekleştirebilir:
  • Tarayıcı isteğini işleme.
  • Oturum bilgilerini kaydetme.
  • İsteği dilediği hedefe yönlendirme.
NOT: Bu, kötü amaçlı bir kişinin kullanıcıya ait oturum bilgilerini kaydetmesine ve düz (şifresiz) metin olarak gönderilen kullanıcı adlarını, parolaları veya kredi kartı numaralarını görmesine izin verebilir.

Bu güvenlik açığından yararlanmaya çalışan kötü amaçlı bir uygulama, kullanıcı açık olan tüm Internet Explorer örneklerini kapatıncaya kadar etkin kalır.

Bu güvenlik açığından yalnızca Microsoft Internet Explorer bir proxy sunucu üzerinden Internet kaynaklarına erişecek biçimde yapılandırılmışsa yararlanılabilir. Tarayıcıları bir proxy sunucu kullanacak biçimde yapılandırılmamış olan kullanıcılar bu güvenlik açığından etkilenmez.

Bu güvenlik açığından yararlanan bir saldırgan güvenli bir HTTP (HTTPS) trafiğini yakalarsa HTTPS trafiği düz metin olarak okunamaz; çünkü HTTPS, Güvenli Yuva Katmanı (SSL) kullanılarak şifrelenmiştir. Bu nedenle, HTTPS kullanılarak gönderilen kullanıcı adları ve parolalar, HTTP kullanılarak düz metin olarak gönderilen bilgilere göre çok daha az risk altındadır.
Neden
Bu güvenlik açığı, Java'da proxy hizmeti için belirli isteklerin işlenme biçimi nedeniyle oluşur. Internet Explorer'ı proxy hizmetlerini kullanacak biçimde yapılandırdığınızda, özel olarak hazırlanmış bir Java programı ("applet" veya uygulama da denir), bu güvenlik açığından yararlanarak tarayıcı trafiğini yönlendirebilir.
Çözüm
Bu sorunu gidermek için, aşağıdaki Windows Update Web sitesinden "810030: Microsoft VM Güvenlik Güncelleştirmesi" paketini yükleyin:.Bu güncelleştirme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
810030 MS02-069: Microsoft VM'deki Kusur Windows Güvenliğinin Aşılmasına Neden Olabilir
Durum
Microsoft, bu sorunun Microsoft sanal makinesinde bir ölçüde güvenlik açığına neden olabileceğini onaylamıştır. Bu sorun ilk olarak Microsoft 2000 Service Pack 3'te düzeltilmiştir.
Daha fazla bilgi
Windows 98, Windows 98 İkinci Sürüm (SE) veya Windows Millennium Edition (ME) çalıştıran bir bilgisayarda Microsoft VM'nin yapı numarasını belirlemek için şu adımları izleyin:
  1. Başlat'ı ve sonra Çalıştır'ı tıklatın.
  2. metin kutusuna command yazın ve sonra da Tamam'ı tıklatın.
  3. Komut istemine şu komutu yazın ve ENTER tuşuna basın:
    jview
    Sürüm bilgisinin ilk satırda "Sürüm s.ss.ssss" olarak görüntülendiğine dikkat edin; burada ssss, yapı numarasıdır. Örneğin 5.00.3802, Microsoft VM yapı 3802'dir.
Windows NT 4.0, Windows 2000 veya Windows XP çalıştıran bir bilgisayarda Microsoft VM'nin yapı numarasını belirlemek için şu adımları izleyin:
  1. Başlat'ı ve sonra Çalıştır'ı tıklatın.
  2. metin kutusuna cmd yazın ve sonra da Tamam'ı tıklatın.
  3. Komut istemine şu komutu yazın ve ENTER tuşuna basın:
    jview
    Sürüm bilgisinin ilk satırda "Sürüm s.ss.ssss" olarak görüntülendiğine dikkat edin; burada ssss, yapı numarasıdır. Örneğin 5.00.3802, Microsoft VM yapı 3802'dir.
Microsoft VM'yi bilgisayarınızı başlatmadan sessizce yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
304930 Microsoft Sanal Makinesi Bilgisayarınızı Yeniden Başlatmanıza Gerek Kalmadan Sessizce Nasıl Yüklenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Microsoft Windows 2000 için Microsoft VM yapı 3805'i (Düzeltme) bilgisayarınızı yeniden başlatmanıza gerek kalmadan sessizce yüklemek için aşağıdaki komut satırını kullanın:
Q300845_W2K_SP3_X86_TR.exe -z -q -m
Referanslar
Bu güvenlik açığı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitelerini ziyaret edin: Microsoft sanal makinesi hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
169803 BİLGİ: Microsoft VM için Teslim Araçlarının Tarihsel Listesi (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Visual J++ ve Java için SDK ile ilgili destek bilgileri için aşağıdaki Microsoft Web sitesini ziyaret edin:
güvenlik_düzeltme_eki
Özellikler

Makale No: 300845 - Son İnceleme: 08/25/2006 14:25:00 - Düzeltme: 9.0

  • Java için Microsoft Sanal Makinesi
  • Java için Microsoft Sanal Makinesi
  • kbbug kbfix kbsecvulnerability kbqfe kbwin2000sp3fix kbjava kbsecurity kbsecbulletin kbsechack KB300845
Geri bildirim
.com/ms.js'><\/script>");