مايكروسافت: اصلاحيه نمي دهيم!
23 ژوئن 2005 – 2 تير 1384
مايكروسافت قصد ندارد اصلاحيه اي براي رفع مشكل امنيتي
IE
كه باعث انجام حمله و فريب كاربران مي شود، ارائه كند.
در اين نوع حمله با كمك جاوا اسكريپت يك پنجره
pop-up
در مقابل يك سايت مورد اعتماد ظاهر مي شود. در ظاهر اين پنجره
جديد بخشي از همان سايت قانوني است اما در واقع به يك سايت
خطرناك مرتبط است. ممكن است يك كاربر فريب بخورد و اطلاعات
شخصي خود را از اين طريق براي نفوذگران ارسال كند.
بنابر
راهنمايي امنيتي منتشر شده روي سايت مايكروسافت با وجودي
كه از پنجره هاي
po-up
مي توان براي حمله و نفوذ استفاده كرد اما از نظر مايكروسافت
پنجره هاي چندگانه يك امكان و مشخصه است نه يك حفره!
مايكروسافت در راهنمايي خود آورده است:“ اين نمونه اي است كه
نشان مي دهد چگونه عملكرد استاندارد مرورگر مي تواند در حملات
هويت ربايي مورد سوءاستفاده قرار گيرد.“
اوايل اين هفته شركت امنيتي
Secunia
در اين مورد اين مشكل امنيتي
هشدار داده بود اما درجه خطر آن را
less critical
ارزيابي كرده بود. به گفته
Secunia
اكثر مرورگرهاي مهم تحت تاثير اين مشكل قرار دارند.
مشكل از آنجا ناشي مي شود كه ديالوگ باكسها در جاوا اسكريپت
منبع خود را نشان نمي دهند. براي انجام اين حمله بايد كاربر
پيش از رفتن به سايت مورد اعتماد مانند سايت بانك، يك سايت
خطرناك را ديده باشد و يا روي لينكي كليك كرده باشد. پس از آن
حمله كننده مي تواند بخشي از سايت مورد اعتماد را با پنجره اي
جديد بپوشاند و از كاربر اطلاعاتي مانند نام كاربري و كلمه
عبور را بخواهد. درصورتي كه كاربر فريب بخورد و اطلاعات را
وارد كند، هكر به جاي بانك آن را دريافت خواهد كرد.
توليدكنندگان
Firefoxسعي
كرده اند تا با اين مشكل مقابله كنند. در ماه آوريل اصلاحيه اي
ارائه شد كه به كاربر اجازه مي دهد تا پنجره هاي
pop-up
جاوا يا فلش را كه به منابع غيرمطمئن ارتباط دارند،بلوكه كند.
Opera
نيز اعلام كرده است كه نسخه اخير اين مرورگر، منبع
pop-up
را نيز نشان مي دهد. |