ב-Online
 
 
 
 
 
 
 
 
פרצות אבטחה חמורות נתגלו ב-ICQ 
 
 
מערכת חיים ברשת

שוב מסתבר כי שום מקום אינו בטוח עוד; השבוע נמצאו שני חורי אבטחה חמורים בתוכנה הפופלארית, בזכותם יכול כל החפץ בכך לחדור למחשבי משתמשים; כמה פתרונות אפשריים

 
 
 
 
 
 
 
 
 
שתי פרצות אבטחה חמורות בתוכנות ה- ICQ פורסמו רשמית בתחילת השבוע ברשת, וכבר מעוררות חשש רב בקרב משתמשי התוכנה ברחבי העולם.

הפרצות, שנתגלו ע"י חברת האבטחה האמריקאית Core Security Technologies, עשויות לאפשר להאקרים לפרוץ למחשביהם של משתמשי התוכנה, וזאת בקלות יחסית.

חברת Core בדקה בחודשים האחרונים את פגיעותה של ה-ICQ בגירסתה האחרונה (ICQ pro 2003a) הנחשבת לאחת התוכנות הפופולאריות ביותר עלי-אדמות. רק לשם הדגמה, באתר ההורדות download.com בלבד, הורדה התוכנה יותר מ-228 מיליון פעמים. להפתעתה של CORE, נמצאו בבדיקה היסודית שערכה כשישה חורי אבטחה בדרגות חומרה שונות. שניים מהם, לטענתה, מוגדרים כ"חמורים מאוד".

חור אבטחה אחד, על פי דיווח החברה, מתרחש בשימוש בתוכנות האימייל שבתוכנה. באג הקיים בה, מאפשר לבעל-כוונות-זדון להריץ בקלות יחסית קוד במחשב המשתמש, ובאמצעות כלים נוספים גם להתקין לו במחשב "דלת-כניסה", דבר שיאפשר לו גישה מלאה למחשב הנפרץ כשהוא מחובר לרשת.

באג חמור נוסף, נמצא ברכיב העדכון האוטומטי של התוכנה. בכיר בחברת CORE מסביר כי "בשל העדרה של אבטחה הולמת ברכיב העדכון, יכולים התוקפים לשלוח קוד זדוני לתוכנה, שמזהה אותו כעדכון לגיטימי, ובכך להתקין בה רכיבים טרויאניים למשל. הגרוע מכל הוא, כי אין צורך ביכולת טכנית יוצאת דופן בכדי לנצל את הפרצות", לדבריו.

התיקונים לבאגים טרם פורסמו. יותר מכך, חברת CORE שמצאה אותם, מעידה כי ניסתה ליצור קשר עם החברה מספר פעמים ולדווח על הדברים, אך זכתה להתעלמות מוחלטת. AOL, שקנתה את החברה ממיראביליס הישראלית ב- 98', הודיעה רק אתמול כי הנושא "נבחן ונבדק בקפידה וברצינות הראויה".

חברת Core, שגילתה ופרסמה את הפרצות המדוברות, אינה עושה זאת בהתנדבות. כנהוג בתחום, החברה עוסקת בין היתר גם במציאת חורים ובעיות אבטחה בתוכנות שונות. כאשר היא מוצאת כאלו, היא מציעה לחברה שהתוכנה בבעלותה "לקנות" את הבעיה וגם הצעות לפתרון. בד"כ, בעקבות הפרסום, זוכה חברת האבטחה לתגמול נאה, פרסום ומוניטין. חברת התוכנה, מצידה, מספיקה להוציא טלאי-תיקון בתוך ימים ספורים, וכולם (כמעט) יוצאים מרוצים.

הפעם, ככל הנראה, בחרה AOL להתעלם מהודעותיה של CORE. זאת מצידה, פרסמה את הדברים מבלי לחכות לתגובתה של החברה. התוצאה היא – פרצות האבטחה גלויות לכולם. גם לאלו שיכולים להשתמש בהן לרעה.

מה ניתן לעשות בינתיים? אפשרות אחת היא לא להשתמש בכלל ברכיב האיימייל שמאפשרת התוכנה, וכנ"ל גם באפשרויות העדכון האוטומטי. אפשרות נוספת, בטוחה פחות, היא להשתמש בתוכנה כרגיל ולחכות ש- ICQ תוציא טלאי עדכון לתקלות. אופציה אחרת היא ה- ICQ Lite: בשנה שעברה הוציאה החברה גירסא "רזה" יותר של התוכנה. גירסא זאת, גם בשל היעדר רכיבים מיותרים, נחשבת לבטוחה יותר, והיא מומלצת יותר לשימוש עבור המשתמש המודאג. בינתיים לפחות.
 
 
פרצות האבטחה האחרונות הן חלק קטן בתקופה הקשה העוברת על חברת ICQ באחרונה. זמן קצר לאחר שהודיעה כי היא סוגרת את משרדיה בישראל, פרסמה החברה כי היא עתידה לפטר 17 עובדים מתוך כ- 90 המועסקים בה כיום. הסיבה, לדברי החברה, החלשות מודל הפרסום המקוון וירידה בהכנסות המחייבת צמצום בכח האדם.
 
 
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
@@@@@@@@@@@@@@@@@@@ ilan @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
 
 

כל הזכויות שמורות 2011 © נענע 10 בע"מ
 
 
 
 
כל הזכויות שמורות © Nana10 בע"מ
Video powered by