مایکروسافت: اصلاحیه نمی دهیم!

23 ژوئن 2005 – 2 تیر 1384

مایکروسافت قصد ندارد اصلاحیه ای برای رفع مشکل امنیتی IE که باعث انجام حمله و فریب کاربران می شود، ارائه کند.

در این نوع حمله با کمک جاوا اسکریپت یک پنجره pop-up در مقابل یک سایت مورد اعتماد ظاهر می شود. در ظاهر این پنجره جدید بخشی از همان سایت قانونی است اما در واقع به یک سایت خطرناک مرتبط است. ممکن است یک کاربر فریب بخورد و اطلاعات شخصی خود را از این طریق برای نفوذگران ارسال کند.

بنابر راهنمایی امنیتی منتشر شده روی سایت مایکروسافت با وجودی که از پنجره های po-up می توان برای حمله و نفوذ استفاده کرد اما از نظر مایکروسافت پنجره های چندگانه یک امکان و مشخصه است نه یک حفره!

مایکروسافت در راهنمایی خود آورده است:“‌ این نمونه ای است که نشان می دهد چگونه عملکرد استاندارد مرورگر می تواند در حملات هویت ربایی مورد سوء‌استفاده قرار گیرد.“

اوایل این هفته شرکت امنیتی Secunia در این مورد این مشکل امنیتی هشدار داده بود اما درجه خطر آن را less critical ارزیابی کرده بود. به گفته Secunia اکثر مرورگرهای مهم تحت تاثیر این مشکل قرار دارند.

مشکل از آنجا ناشی می شود که دیالوگ باکسها در جاوا اسکریپت منبع خود را نشان نمی دهند. برای انجام این حمله باید کاربر پیش از رفتن به سایت مورد اعتماد مانند سایت بانک، یک سایت خطرناک را دیده باشد و یا روی لینکی کلیک کرده باشد. پس از آن حمله کننده می تواند بخشی از سایت مورد اعتماد را با پنجره ای جدید بپوشاند و از کاربر اطلاعاتی مانند نام کاربری و کلمه عبور را بخواهد. درصورتی که کاربر فریب بخورد و اطلاعات را وارد کند، هکر به جای بانک آن را دریافت خواهد کرد.

تولیدکنندگان Firefox‌سعی کرده اند تا با این مشکل مقابله کنند. در ماه آوریل اصلاحیه ای ارائه شد که به کاربر اجازه می دهد تا پنجره های pop-up جاوا یا فلش را که به منابع غیرمطمئن ارتباط دارند،‌بلوکه کند.

Opera نیز اعلام کرده است که نسخه اخیر این مرورگر، منبع pop-up را نیز نشان می دهد.