Newsgeek

כל משתמש אשר מותקן לו Chrome על המחשב חשוף לבעייה המאפשרת לתוקפים לשתול קבצי Script באתרים וכאשר יגלוש אליהם המשתמש באמצעות Internet Explorer, אלו יגרמו ל-Chrome להיפתח, לגלוש לאתרים אחרים ללא התערבות משתמש ולהפעיל סקריפטים נוספים.

הקטנת טקסט הגדלת טקסט

מוקדם יותר השבוע פורסם בבלוג ה-Announcments של דפדן הכרום, על בעיית אבטחה חדשה הנוגעת לצורת הטיפול בפרוטוקול ה-ChromeHTML. לפי הדיווח, כל משתמש אשר מותקנת לו גרסה 1.1.154.109 או מוקדמת יותר של Chrome על המחשב חשוף לבעייה המאפשרת לתוקפים לשתול קבצי Script באתרים וכאשר יגלוש אליהם המשתמש באמצעות Internet Explorer, אלו יגרמו ל-Chrome להיפתח, לגלוש לאתרים אחרים ללא התערבות משתמש ולהפעיל סקריפטים נוספים. תוך פחות מ-24 לאחר פרסום הפירצה, Google פרסמה מידע נוסף על הבעייה ועל אפיקי הפתרון האפשריים שלה.

מאתר הבעייה הוא בחור מ-IBM בשם רוי זלצמן, אשר שחרר יחד עם הפרסום על הפירצה מסמך המתאר כיצד ניתן לנצל את הפרצה ואילו השפעות ניתן להשיג על תחנות קצה במידה ואלו סובלות מהבעייה. בין הדברים שיכולה לנצל פרצה זו היא היכולת להריץ כל קטע קוד על המחשב המרוחק ולקבל גישה מלאה לקבצים רגישים הנמצאים על המחשב המרוחק. לטענתו של זלצמן, צורת הטיפול של Internet Explorer בפרוטוקולים שונים המרחיבים ומשנים את יכולות ה-URL הסטנדרטי היא עקב אכילס ידוע. זאת הסיבה שתוקפים משקיעים זמן רב בלמצוא פרצות באפליקציות אחרות תוך שימוש בפלטפורמה של Protocol Handlers. מיקרוסופט מצידה טוענת כי זוהי הדרך הסטנדרטית לעבוד ולאפשר מצד שני שימוש באפליקציות Browser או הרחבות לדפדפן מבלי "לנעול" את המשתמש לשימוש באפליקציה שלהם בלבד. מאחר והפרצות הן לא בקטעי הקוד של מיקרוסופט וצורת העבודה של IE נופלת תחת הגדרת ה-By Design, מיקרוסופט מסירה מעצמה את האחריות לטיפול בנושא ומעבירה אותו חזרה לבעלי תוכנות צד-שלישי שאחראים על האפליקציות שלהם.

תגים: Add new tag, browser, Google, Google Chrome, Internet Explorer, אבטחה, אינטרנט אקספלורר, גוגל, כרום, מיקרוסופט

פוסטים נוספים בנושא אינטרנט

• האמת על דחיית אפליקציות מהחנות המקוונת של אפל
• גיק וויק - השבוע שהיה בניוזגיק
• חשיפה: הרשת החברתית החדש של מיקרוסופט
• בלוגיק: נבחרי השבוע מהבלוגספירה הישראלית