ב-Online
 
 
 
 
 
 
 
 
באג פורץ מסגרות 
 
 פרוצה. תוכנת האינטרנט אקספלורר   
 
עידו קינן

פירצת אבטחה חמורה, המאפשרת קריאה והפעלה של קבצים ומסמכים במחשבי המשתמשים, התגלתה בדפדפן אינטרנט אקספלורר; חושפי הפירצה לא ראו לנכון לתת למיקרוסופט זמן לסגור אותה; 'בפעם הקודמת שהודענו להם, לקח להם שישה חודשים לתקן', מסביר אחד מהם

 
 
 
 
 
 
 
 
 
פירצת אבטחה חמורה התגלתה באינטרנט אקספלורר, דפדפן האינטרנט של חברת מיקרוסופט. תוך שימוש במסגרות (frames), יכול הפורץ לקרוא קבצים ועוגיות (cookies) ולהריץ תוכנות ופקודות על המחשב הנפרץ, תוך עקיפת הגדרות ההגנה שהוגדרו עליו. בנוסף, ניתן ליצור אתר המתחזה לאתר אחר, ולגנוב סיסמאות כניסה ומידע שמוזנים אליו על ידי הגולש התמים. הפירצה נחשפה היום (ב') על ידי חברת GreyMagic Software הישראלית, שלא הודיעה עליה מראש למיקרוסופט.

תחת הכותרת "Who framed Internet Explorer" (משחק מילים שמשמעותו "מי הפליל את אינטרנט אקספלורר"), מספרת החברה על הפירצה, שקיימת בגירסאות 5.5 ומעלה של אקספלורר, כמו גם תוכנות אאוטלוק, תוכנות האימיילים של החברה. החברה גילתה תכונה של מסגרות (Frames ו-iFrames) ב-HTML, המתפקדות בנפרד מעמוד ה-HTML בו הן מופיעות, ובכך מאפשרות את הפעלת הקוד, המבצע את הפריצות המתוארות לעיל.


לפרסם עכשיו או אחר-כך?

האם קיבלה מיקרוסופט הודעה מראש, כדי שתוכל להערך ולסגור את הפירצה לפני הפרסום? מנהל מחקר ופיתוח ב-GreyMagic, לי דגון, מודה שלראשונה מסרה החברה שלו את האזהרה למיקרוסופט ולציבור הרחב במקביל.

אסכולה אחת של מגלי פרצות גורסת, שיש לדווח ראשית ליצרנית התוכנה, ולתת לה זמן סביר לסגור את הפירצה לפני שיוצאים בהודעה לציבור. זאת, כדי למנוע מגורמים עוינים לנצל את הפירצה לפני סגירתה. האסכולה הנגדית טוענת, שיש לפרסם את הפירצה בציבור מיד עם גילויה, כדי שמשתמשי התוכנה ידעו שהיא לא בטוחה. הסיבה היא, שאם אדם אחד גילה את הפירצה, לא מן הנמנע שגורמים נוספים גילו אותה, והם יוכלו לנצלה תוך ניצול העובדה, שציבור המשתמשים לא מודע לה.

GreyMagic הלכה בעבר עם האסכולה הראשונה, סיפר דגון לחיים ברשת: "בפברואר מצאנו בעיה ב-XML, ועשינו ניסוי. לקח למיקרוסופט העולמית יותר משישה חודשים לפתור את זה. הגענו למסקנה שהודעה של שבועיים מראש זה ממש לא מה שיעזור להם. אם אתה מודיע מראש, יש מסע שכנועים [מצד מיקרוסופט - ע.ק.] זה לא ממש מפריע לנו, אבל זה חוזר על עצמו, ולא עוזר ללקוחות".

תגובת מיקרוסופט טרם התקבלה.


מפרט טכני

מסגרות עשויות להכיל כתובות אינטרנט ממיקום אינטרנטי שונה מזה של האתר בו הן נמצאות. בעוד האתר הראשי עשוי להיות אתר שהגולש מכיר וסומך עליו, הכתובות החיצוניות עלולות להגיע מאתרים בלתי אמינים. הגדרות האבטחה מאפשרות למנוע גישה של המסגרות לתכנים חיצוניים. הפירצה מאפשרת הרצת ג'אווה-סקריפט, שיפעל במיקום הנוכחי של האתר, ובכל זאת יגרום נזק למחשב.

כדי לבצע פעולות על קבצי המחשב הנפרץ, הפורץ צריך למצוא קובץ מקומי עם מסגרות, עליהן יפעיל את הסקריפט. מיקרוסופט מספקת קובץ כזה באקספלורר 6, ולמרבה האירוניה הוא נקרא "PrivacyPolicy.dlg" - ובעברית "מדיניות פרטיות". באקספלורר 5.5 לא קיים הקובץ הזה, אולם ניתן לבצע סריקה בקבצי HTML אחרים, וביניהם ניתן לעיתים למצוא אחד שמשתמש במסגרות.

חסימת הפירצה אפשרית על ידי כיבוי אפשרות ה-Active Scripting. אפשרות נוספת היא הורדת דפדפן האינטרנט המתחרה מוזילה, בו לא קיימת הפירצה.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by