مایکروسافت: اصلاحیه نمی دهیم!
23 ژوئن 2005 – 2 تیر 1384
مایکروسافت قصد ندارد اصلاحیه ای برای رفع مشکل امنیتی
IE
که باعث انجام حمله و فریب کاربران می شود، ارائه کند.
در این نوع حمله با کمک جاوا اسکریپت یک پنجره
pop-up
در مقابل یک سایت مورد اعتماد ظاهر می شود. در ظاهر این پنجره
جدید بخشی از همان سایت قانونی است اما در واقع به یک سایت
خطرناک مرتبط است. ممکن است یک کاربر فریب بخورد و اطلاعات
شخصی خود را از این طریق برای نفوذگران ارسال کند.
بنابر
راهنمایی امنیتی منتشر شده روی سایت مایکروسافت با وجودی
که از پنجره های
po-up
می توان برای حمله و نفوذ استفاده کرد اما از نظر مایکروسافت
پنجره های چندگانه یک امکان و مشخصه است نه یک حفره!
مایکروسافت در راهنمایی خود آورده است:“ این نمونه ای است که
نشان می دهد چگونه عملکرد استاندارد مرورگر می تواند در حملات
هویت ربایی مورد سوءاستفاده قرار گیرد.“
اوایل این هفته شرکت امنیتی
Secunia
در این مورد این مشکل امنیتی
هشدار داده بود اما درجه خطر آن را
less critical
ارزیابی کرده بود. به گفته
Secunia
اکثر مرورگرهای مهم تحت تاثیر این مشکل قرار دارند.
مشکل از آنجا ناشی می شود که دیالوگ باکسها در جاوا اسکریپت
منبع خود را نشان نمی دهند. برای انجام این حمله باید کاربر
پیش از رفتن به سایت مورد اعتماد مانند سایت بانک، یک سایت
خطرناک را دیده باشد و یا روی لینکی کلیک کرده باشد. پس از آن
حمله کننده می تواند بخشی از سایت مورد اعتماد را با پنجره ای
جدید بپوشاند و از کاربر اطلاعاتی مانند نام کاربری و کلمه
عبور را بخواهد. درصورتی که کاربر فریب بخورد و اطلاعات را
وارد کند، هکر به جای بانک آن را دریافت خواهد کرد.
تولیدکنندگان
Firefoxسعی
کرده اند تا با این مشکل مقابله کنند. در ماه آوریل اصلاحیه ای
ارائه شد که به کاربر اجازه می دهد تا پنجره های
pop-up
جاوا یا فلش را که به منابع غیرمطمئن ارتباط دارند،بلوکه کند.
Opera
نیز اعلام کرده است که نسخه اخیر این مرورگر، منبع
pop-up
را نیز نشان می دهد. |