Abis baca-baca soal attack terhadap web-browser yang di tulis oleh HDM dari metasploit framework project yang berjudul "Internet Drive-By Shootings" di dalam blog resmi mereka, HDM menyatakan meskipun teknik/metoda/jenis serangan terhadap web browser masih yang itu-itu saja (belum di temukan teknik baru dalam mengeksploitasinya) tetapi para attacker telah berhasil mengkombinasikannya untuk secara maksimal mengambil keuntungan dari hal tersebut, tercatat banyak sekali celah yang di "umumkan" (publish) kepada publik akhir akhir ini, sebut saja 40 buah laporan keamanan untuk firefox pada pencarian di securityfocus.com, 88 buah untuk internet explorer, dan 19 untuk Opera web browser.
Beberapa Celah pada Internet Explorer malah telah menempatkannya di peringkat kedua dari 5 "Top Vulnerabilities in Windows Systems" yang di catat oleh sans.org. Meskipun sedikit tidak lebih mencolok dibandingkan IE tetapi celah pada mozilla dan firefox dapat menempati urutan ke 9 dari 10 "Top Vulnerabilities in Cross-Platform Applications" yang di rangkum dalam "The Top 20 Most Critical Internet Security Vulnerabilities - The Experts Consensus" oleh Sans,
Milworm sendiri telah mendokumentasikan sejumlah exploit yang dapat digunakan untuk mengeksploitasi celah-celah tersebut dan selama tahun 2006 sudah tercatat 16 buah exploit untuk IE, 7 buah exploits untuk firefox, dan 2 buah exploit untuk opera . Erghhh ..
well ... tidakkah hal ini cukup membuat para attacker bersemangat ;)
Karena terlalu asyik membaca hal ini maka hampir semua link aku ikuti, lalu (jreng.. jreng) aku mendapatkan 2 buah link yang ternyata bisa digunakan untuk melakukan sedikit testing terhadap web browser yang kita gunakan dengan tujuan mengetahui apakah web browser yang kita gunakan bisa di exploitasi atau tidak, salah satunya adalah metasploit browser assessment yang ternyata masih di develop, dan satu buah lagi adalah ScanIt's Browser Security Test yang telah aku ujikan pada browser yang aku pakai saat ini, dan menghasilkan result
yeah, berita gembiranya aku lolos test di situs itu, berita sedihnya "ini tidak benar-benar" lolos test, bahkan oleh bug yang aku temukan sendiri pada opera awal bulan juli lalu ( hingga kini aku masih pake opera 9 full un-patched karena opera sendiri belun merilis versi terbaru ataupun patchnya, --w00t) dan bisa di eksploitasi dengan beberapa baris kode JavaScript. :(
No comments:
Post a Comment