شکاف امنیتی:

عدم نمایش صحیح URL ها در Microsoft IE

تاریخ: 3/2/2004

منبع: CERT/CC

منبع اصلی:

شماره CVE:

چکیده

مرورگر میکروسافت (IE) URL ها را در بعضی موارد بصورت کامل نمایش نمیدهد. این مطلب میتواند باعث شود تا نفوذگر ، کاربران کامپیوتر را به اشتباه ، وادار به ورود اطلاعات حساس (مانند کلمه های عبور) نماید.

توضیحات

مرورگر وب شرکت میکروسافت (IE) آدرس صفحه جاری را در Address Bar نمایش میدهد. در واقع کاربران توقع دارند تا آنچه در Address Bar نمایش می یابد دقیقا منبع صفحه جاری باشد که بدان اطمینان دارند. اما IE در صورتی که بعضی حروف غیر قابل چاپ در URL موجود باشد ، کل URL را به صورت صحیح و کاملی نمایش نمیدهد. فرمت کلی URL به شکل زیر است:

<userinfo>@<host>:<port>

حال اگر در داخل فیلد userinfo حروف غیر قابل چاپی وجود داشته باشد ، IE فقط userinfo را نمایش میدهد اما عملا صفحه موجود در host:port را به کاربر نشان میدهد.

بنابراین نفوذگر ممکن است داخل userinfo را با آدرس یک URL مورد اعتماد کاربر پر کند اما عملا در قسمت host:port آدرس سایت مورد نظر خودش را قرار دهد. سایت مورد نظر نفوذ گر ممکن است سپس کاربر را (با توجه به جلب اعتماد او از طریق آدرس معتبر) وادار به ورود اطلاعات شخصی (مانند نام کاربری و کلمه عبور ...) خود نماید. این سری عملیات خرابکارانه تحت عنوان "phishing"  شناخته میشود.

تاثیرات

نفوذگر ممکن است کاربر را (از طریق این شکاف امنیتی) متقاعد کند که در حال مشاهده یک سایت عادی و مورد اعتماد است در حالی که کاربر عملا در حال مشاهده سایت خود نفوذگر می باشد. سپس نفوذگر میتواند با استفاده از تکنیکهای مهندسی اجتماعی به اطلاعات شخصی کاربر دست یابد.

راه حل

• اعمال وصله امنیتی مربوط به IE: MS04-004
• تایپ دستی URL ها: سعی کنید به جای کلیک کردن ساده بر روی URL های موجود در منابع غیر قابل اعتماد (مانند Email یا PM) آنها را مستقیما در Address Bar تایپ کنید.