صفحه اول > راهنماییها

 

 

شکاف امنیتی تزریق کد به فریم در IE

 

شماره : IRCAD8318

تاریخ انتشار: 2 جولای 2004

منبع: Secunia.com

میزان خطر: بالا

 

سیستمهای تحت تاثیر:

Microsoft Internet Explorer 6

Microsoft Internet Explorer 6   SP1

Microsoft Internet Explorer 5.5

Microsoft Internet Explorer 5.01

 

چکیده:

سایت Malware.com موفق به کشف یک شکاف امنیتی در مرورگر شرکت میکروسافت (IE)  شده است که گویا بیش از شش سال است بر روی مرورگر این شرکت موجود است و چاره ای برای آن اندیشیده نشده. این شکاف امنیتی به وب سایت نفوذگر (Malisious Website) اجازه میدهد محتوای یک فریم دیگر مربوط به سایت مورد اعتماد کاربر را تغییر دهد. این عمل ممکن است باعث دستیابی آسان نفوذگر به اطلاعات شخصی کاربران شود.

 

توضیح:

سایت Malware.com موفق به کشف یک شکاف امنیتی جدید در IE شده است. مدتها پیش وجود شکافهایی ازین دست در IE گزارش شده و میکروسافت وصله های امنیتی جهت حل آن ارائه کرده بود(MS98-020).

این شکاف امنیتی جدید به نفوذگر اجازه میدهد در حالی که مشغول مشاهده سایت او هستید محتویات دلخواه خود را فریم مربوط به یک سایت مورد اعتماد شما تزریق کند. ازین طریق کد دلخواه نفوذ گر در Zone مورد اعتماد شما اجرا خواهد شد و عملا امکان دارد هر برنامه ای توسط او بر روی کامپیوتر شما اجرا شود.

تا کنون گزارشات موجود تاکید میکنند که این شکاف امنیتی بر روی تمامی نسخه های IE6 بر روی ویندوز XP که به صورت کامل نیز patch شده باشند موجود است.

 

راه حل:

  1. گزینه زیر را در Security Settings برنامه IE غیر فعال کنید:

"Navigate sub-frames across different domains"

  1. از مشاهده محتوای سایتهایی که به آنها اعتماد ندارید اجتناب کنید.