حفره ای برای هویت ربایی در IE

17 دسامبر 2004 - 27 آذر 1383

مایکروسافت در حال بررسی گزارشهایی است که نشان می دهند وجود یک مشکل جدید امنیتی در IE باعث می شود کاربرانی که از امن ترین نسخه ویندوز استفاده می کنند در خطر حمله phishing یا هویت ربایی قرار گیرند.

این شرکت امروز اعلام کرد که گزارشهای رسیده از شرکت امنیتی Secunia و سایر شرکتها نشان می دهد که یک حفره امنیتی در IE6 به هکرها اجازه می دهد تا حملات هویت ربایی را علیه امن ترین ویندوزها - که SP2‌بر روی آنها نصب شده است -  و نسخ قدیمی تر این سیستم عامل انجام دهند. معمولا حملات phishing از سایتهایی قلابی اما شبیه به سایتهای اصلی شرکتها یا بانکها استفاده می کنند تا اطلاعات شخصی افراد مانند شماره کارت اعتباری را سرقت کنند.

به گفته Secunia این حفره امنیتی به سارقین اجازه می دهد سایتی ایجاد کنند که تشخیص آن از سایت واقعی بسیار مشکل است و حتی یک گواهی امضای SSL قلابی نیز دارد. از آنجایی که از این حفره نمی توان جهت دسترسی به شبکه های کامپیوتری استفاده کرد، Secunia درجه خطر آن را moderately critical ذکر کرده است.

مایکروسافت اعلام کرده است که تا به حال گزارشی درباره حمله از طریق این حفره دریافت نکرده است. این شرکت در حال بررسی حفره کشف شده است تا بسته به نیاز اصلاحیه مربوطه را در برنامه ماهانه انتشار اصلاحیه ها و یا خارج از آن منتشر کند.

Secunia در راهنمایی امنیتی خود اشاره کرده است که یک اشکال در DHTML Edit ActiveX control باعث می شود که این حفره بروز کند. به کاربران توصیه شده است که تا زمان انتشار اصلاحیه، پشتیبانی ActiveX را روی سیستم خود غیرفعال کنند.