مايكروسافت: اصلاحيه نمي دهيم!

23 ژوئن 2005 – 2 تير 1384

مايكروسافت قصد ندارد اصلاحيه اي براي رفع مشكل امنيتي IE كه باعث انجام حمله و فريب كاربران مي شود، ارائه كند.

در اين نوع حمله با كمك جاوا اسكريپت يك پنجره pop-up در مقابل يك سايت مورد اعتماد ظاهر مي شود. در ظاهر اين پنجره جديد بخشي از همان سايت قانوني است اما در واقع به يك سايت خطرناك مرتبط است. ممكن است يك كاربر فريب بخورد و اطلاعات شخصي خود را از اين طريق براي نفوذگران ارسال كند.

بنابر راهنمايي امنيتي منتشر شده روي سايت مايكروسافت با وجودي كه از پنجره هاي po-up مي توان براي حمله و نفوذ استفاده كرد اما از نظر مايكروسافت پنجره هاي چندگانه يك امكان و مشخصه است نه يك حفره!

مايكروسافت در راهنمايي خود آورده است:“‌ اين نمونه اي است كه نشان مي دهد چگونه عملكرد استاندارد مرورگر مي تواند در حملات هويت ربايي مورد سوء‌استفاده قرار گيرد.“

اوايل اين هفته شركت امنيتي Secunia در اين مورد اين مشكل امنيتي هشدار داده بود اما درجه خطر آن را less critical ارزيابي كرده بود. به گفته Secunia اكثر مرورگرهاي مهم تحت تاثير اين مشكل قرار دارند.

مشكل از آنجا ناشي مي شود كه ديالوگ باكسها در جاوا اسكريپت منبع خود را نشان نمي دهند. براي انجام اين حمله بايد كاربر پيش از رفتن به سايت مورد اعتماد مانند سايت بانك، يك سايت خطرناك را ديده باشد و يا روي لينكي كليك كرده باشد. پس از آن حمله كننده مي تواند بخشي از سايت مورد اعتماد را با پنجره اي جديد بپوشاند و از كاربر اطلاعاتي مانند نام كاربري و كلمه عبور را بخواهد. درصورتي كه كاربر فريب بخورد و اطلاعات را وارد كند، هكر به جاي بانك آن را دريافت خواهد كرد.

توليدكنندگان Firefox‌سعي كرده اند تا با اين مشكل مقابله كنند. در ماه آوريل اصلاحيه اي ارائه شد كه به كاربر اجازه مي دهد تا پنجره هاي pop-up جاوا يا فلش را كه به منابع غيرمطمئن ارتباط دارند،‌بلوكه كند.

Opera نيز اعلام كرده است كه نسخه اخير اين مرورگر، منبع pop-up را نيز نشان مي دهد.