Drag&Drop نکنید

20 آگوست 2004 – 30 مرداد 1383

یک کارشناس امنیتی هشدار داد که وجود یک حفره امنیتی در IE می تواند عملیات drag-and-drop را به drag-and-infect تبدیل کند و باعث آلودگی سیستم شود، حتی در سیستم هایی که آخرین اصلاحیه امنیتی یعنی SP2 را نصب کرده اند.

این مشکل آخرین نسخه IE را روی ویندوز XP تحت تاثیر قرار می دهد. یک هکر می تواند با استفاده از این مشکل ، یک برنامه را روی کامپیوتر قربانی نصب کند و برای این کار تنها کافی است کاربر را متقاعد کند تا سایتی را ببیند و بر روی یک تصویر کلیک کند.برنامه هکر در فلدر startup قرار می گیرد و زمانی که کاربر ویندوز را بازآغازی کند، اجرا می شود.

 کارشناسی که این مشکل را یافته است با نام مستعار آنلاین http-equiv شناخته می شود. وی می گوید:“ اگر شما به صفحه وب مورد نظر نگاه کنید، تنها دو خط قرمز و یک تصویر می بینید. کافی است تصویر را روی دو خط بکشید ( drag ) و رها ( drop )‌ کنید. با این کار یک برنامه را درون فلدر startup خود قرار داده اید. “

شرکت امنیتی Secunia اعتقاد دارد که برنامه ای که از این مشکل سوء استفاده می کند می تواند کار را تنها با یک کلیک ساده از سوی کاربر به انجام رساند. Secunia درجه خطر این حفره  را highly critical اعلام کرده است.

مایکروسافت گفته است که این موضوع خطر جدی برای کاربران ندارد چون باید هکر بتواند کاربران را قانع کند سایتی را ببینند و کاری آنجا انجام دهند. کارشناسان مایکروسافت در حال بررسی بیشتر موضوع هستند.

به نظر می رسد این مشکل امنیتی، جدی ترین مشکلی است که در کامپیوترهای اصلاح شده با SP2 یافت می شود.