بررسی مشکل امنیتی IE

28 سپتامبر 2005 – 6 مهر 1384

متخصصان امنیتی هشدار دادند که یک مشکل امنیتی جدید در IE می تواند باعث حملات مبتنی بر Spoof و یا دسترسی و تغییر داده ها روی کامپیوترهای قابل نفوذ شود.

بنابر تحقیقات انجام شده، این مشکل به شیوه پیاده سازی یک جزء JavaScript در مرورگر مایکروسافت بازمی گردد. متخصصین می گویند، هنگامی که از XmlHttpRequest استفاده می شود،  IE اعتبار بعضی فیلدهای اطلاعاتی را که توسط کامپیوتر تامین می شوند، کنترل نمی کند.

این حفره را می توان با یک کد خاص مورد سوء استفاده قرار داد. یک هکر می تواند یک وب سایت قانونی را جعل کند و به اطلاعات از طریق Cache مرورگر دسترسی پیدا کند. همچنین می تواند از روشی با نام  man-in-the-middle attack استفاده کند که طی آن هکر به ترافیک بین کاربر و یک سایت دیگر نفوذ می کند.

Secunia در یک راهنمایی امنیتی هشدار داده است که حتی سیستمهای کامپیوتری کاملا اصلاح شده با سیستم عامل XP و SP2 و مرورگر IE 6 نیز در برابر این مشکل آسیب پذیرند. Secunia درجه خطر این حفره را moderately critical اعلام کرده است اما اشاره کرده است که کاربران می توانند با تغییر تنظیمات امنیتی مرورگر خود و ارتقا آن به درجه high، از این خطر اجتناب کنند.

مایکروسافت در حال بررسی گزارش ارائه شده است اما تا به حال خبری درباره سوء استفاده از این حفره دریافت نکرده است. غول نرم افزاری دنیا بازهم به شیوه اطلاع دادن متخصصان امنیتی درباره این حفره معترض است و می گوید باید پیش از مطلع کردن عموم از یک مشکل، به سازنده زمان کافی برای اصلاح آن را داد.

Secunia 86 راهنمایی امنیتی درباره IE منتشر کرده است که وضعیت 20 راهنمایی هنوز به صورت "اصلاح نشده" است.