بررسي مشكل امنيتي IE

28 سپتامبر 2005 – 6 مهر 1384

متخصصان امنيتي هشدار دادند كه يك مشكل امنيتي جديد در IE مي تواند باعث حملات مبتني بر Spoof و يا دسترسي و تغيير داده ها روي كامپيوترهاي قابل نفوذ شود.

بنابر تحقيقات انجام شده، اين مشكل به شيوه پياده سازي يك جزء JavaScript در مرورگر مايكروسافت بازمي گردد. متخصصين مي گويند، هنگامي كه از XmlHttpRequest استفاده مي شود،  IE اعتبار بعضي فيلدهاي اطلاعاتي را كه توسط كامپيوتر تامين مي شوند، كنترل نمي كند.

اين حفره را مي توان با يك كد خاص مورد سوء استفاده قرار داد. يك هكر مي تواند يك وب سايت قانوني را جعل كند و به اطلاعات از طريق Cache مرورگر دسترسي پيدا كند. همچنين مي تواند از روشي با نام  man-in-the-middle attack استفاده كند كه طي آن هكر به ترافيك بين كاربر و يك سايت ديگر نفوذ مي كند.

Secunia در يك راهنمايي امنيتي هشدار داده است كه حتي سيستمهاي كامپيوتري كاملا اصلاح شده با سيستم عامل XP و SP2 و مرورگر IE 6 نيز در برابر اين مشكل آسيب پذيرند. Secunia درجه خطر اين حفره را moderately critical اعلام كرده است اما اشاره كرده است كه كاربران مي توانند با تغيير تنظيمات امنيتي مرورگر خود و ارتقا آن به درجه high، از اين خطر اجتناب كنند.

مايكروسافت در حال بررسي گزارش ارائه شده است اما تا به حال خبري درباره سوء استفاده از اين حفره دريافت نكرده است. غول نرم افزاري دنيا بازهم به شيوه اطلاع دادن متخصصان امنيتي درباره اين حفره معترض است و مي گويد بايد پيش از مطلع كردن عموم از يك مشكل، به سازنده زمان كافي براي اصلاح آن را داد.

Secunia 86 راهنمايي امنيتي درباره IE منتشر كرده است كه وضعيت 20 راهنمايي هنوز به صورت "اصلاح نشده" است.