صفحه اول > راهنماييها

 

 

شکاف امنيتی:

عدم نمایش صحیح URL ها در Microsoft IE

 

تاریخ: 3/2/2004

منبع: CERT/CC

منبع اصلی:

شماره CVE:

چکیده

مرورگر ميکروسافت (IE) URL ها را در بعضی موارد بصورت کامل نمايش نميدهد. اين مطلب ميتواند باعث شود تا نفوذگر ، کاربران کامپيوتر را به اشتباه ، وادار به ورود اطلاعات حساس (مانند کلمه های عبور) نمايد.

توضيحات

مرورگر وب شرکت ميکروسافت (IE) آدرس صفحه جاری را در Address Bar نمايش ميدهد. در واقع کاربران توقع دارند تا آنچه در Address Bar نمايش می يابد دقيقا منبع صفحه جاری باشد که بدان اطمينان دارند. اما IE در صورتی که بعضی حروف غير قابل چاپ در URL موجود باشد ، کل URL را به صورت صحيح و کاملی نمايش نميدهد. فرمت کلی URL به شکل زير است:

<userinfo>@<host>:<port>

حال اگر در داخل فيلد userinfo حروف غير قابل چاپی وجود داشته باشد ، IE فقط userinfo را نمايش ميدهد اما عملا صفحه موجود در host:port را به کاربر نشان ميدهد.

بنابراين نفوذگر ممکن است داخل userinfo را با آدرس يک URL مورد اعتماد کاربر پر کند اما عملا در قسمت host:port آدرس سايت مورد نظر خودش را قرار دهد. سايت مورد نظر نفوذ گر ممکن است سپس کاربر را (با توجه به جلب اعتماد او از طريق آدرس معتبر) وادار به ورود اطلاعات شخصی (مانند نام کاربری و کلمه عبور ...) خود نمايد. اين سری عمليات خرابکارانه تحت عنوان "phishing"  شناخته ميشود.

تاثيرات

نفوذگر ممکن است کاربر را (از طريق اين شکاف امنيتی) متقاعد کند که در حال مشاهده يک سايت عادی و مورد اعتماد است در حالی که کاربر عملا در حال مشاهده سايت خود نفوذگر می باشد. سپس نفوذگر ميتواند با استفاده از تکنيکهای مهندسی اجتماعی به اطلاعات شخصی کاربر دست يابد.

راه حل

  • اعمال وصله امنيتی مربوط به IE: MS04-004
  • تايپ دستی URL ها: سعی کنيد به جای کليک کردن ساده بر روی URL های موجود در منابع غير قابل اعتماد (مانند Email يا PM) آنها را مستقيما در Address Bar تايپ کنيد.