Drag&Drop نكنيد

20 آگوست 2004 – 30 مرداد 1383

يك كارشناس امنيتي هشدار داد كه وجود يك حفره امنيتي در IE مي تواند عمليات drag-and-drop را به drag-and-infect تبديل كند و باعث آلودگي سيستم شود، حتي در سيستم هايي كه آخرين اصلاحيه امنيتي يعني SP2 را نصب كرده اند.

اين مشكل آخرين نسخه IE را روي ويندوز XP تحت تاثير قرار مي دهد. يك هكر مي تواند با استفاده از اين مشكل ، يك برنامه را روي كامپيوتر قرباني نصب كند و براي اين كار تنها كافي است كاربر را متقاعد كند تا سايتي را ببيند و بر روي يك تصوير كليك كند.برنامه هكر در فلدر startup قرار مي گيرد و زماني كه كاربر ويندوز را بازآغازي كند، اجرا مي شود.

 كارشناسي كه اين مشكل را يافته است با نام مستعار آنلاين http-equiv شناخته مي شود. وي مي گويد:“ اگر شما به صفحه وب مورد نظر نگاه كنيد، تنها دو خط قرمز و يك تصوير مي بينيد. كافي است تصوير را روي دو خط بكشيد ( drag ) و رها ( drop )‌ كنيد. با اين كار يك برنامه را درون فلدر startup خود قرار داده ايد. “

شركت امنيتي Secunia اعتقاد دارد كه برنامه اي كه از اين مشكل سوء استفاده مي كند مي تواند كار را تنها با يك كليك ساده از سوي كاربر به انجام رساند. Secunia درجه خطر اين حفره  را highly critical اعلام كرده است.

مايكروسافت گفته است كه اين موضوع خطر جدي براي كاربران ندارد چون بايد هكر بتواند كاربران را قانع كند سايتي را ببينند و كاري آنجا انجام دهند. كارشناسان مايكروسافت در حال بررسي بيشتر موضوع هستند.

به نظر مي رسد اين مشكل امنيتي، جدي ترين مشكلي است كه در كامپيوترهاي اصلاح شده با SP2 يافت مي شود.