אינטרנט אקספלורר + גוגל כרום = סיכון אבטחה

מאת יניב פלדמן, אפריל 28, 2009. אין תגובות. שייך לקטגוריות אינטרנט

כל משתמש אשר מותקן לו Chrome על המחשב חשוף לבעייה המאפשרת לתוקפים לשתול קבצי Script באתרים וכאשר יגלוש אליהם המשתמש באמצעות Internet Explorer, אלו יגרמו ל-Chrome להיפתח, לגלוש לאתרים אחרים ללא התערבות משתמש ולהפעיל סקריפטים נוספים.

googlechromelogoמוקדם יותר השבוע פורסם בבלוג ה-Announcments של דפדן הכרום, על בעיית אבטחה חדשה הנוגעת לצורת הטיפול בפרוטוקול ה-ChromeHTML. לפי הדיווח, כל משתמש אשר מותקנת לו גרסה 1.1.154.109 או מוקדמת יותר של Chrome על המחשב חשוף לבעייה המאפשרת לתוקפים לשתול קבצי Script באתרים וכאשר יגלוש אליהם המשתמש באמצעות Internet Explorer, אלו יגרמו ל-Chrome להיפתח, לגלוש לאתרים אחרים ללא התערבות משתמש ולהפעיל סקריפטים נוספים. תוך פחות מ-24 לאחר פרסום הפירצה, Google פרסמה מידע נוסף על הבעייה ועל אפיקי הפתרון האפשריים שלה.

מאתר הבעייה הוא בחור מ-IBM בשם רוי זלצמן, אשר שחרר יחד עם הפרסום על הפירצה מסמך המתאר כיצד ניתן לנצל את הפרצה ואילו השפעות ניתן להשיג על תחנות קצה במידה ואלו סובלות מהבעייה. בין הדברים שיכולה לנצל פרצה זו היא היכולת להריץ כל קטע קוד על המחשב המרוחק ולקבל גישה מלאה לקבצים רגישים הנמצאים על המחשב המרוחק. לטענתו של זלצמן, צורת הטיפול של Internet Explorer בפרוטוקולים שונים המרחיבים ומשנים את יכולות ה-URL הסטנדרטי היא עקב אכילס ידוע. זאת הסיבה שתוקפים משקיעים זמן רב בלמצוא פרצות באפליקציות אחרות תוך שימוש בפלטפורמה של Protocol Handlers. מיקרוסופט מצידה טוענת כי זוהי הדרך הסטנדרטית לעבוד ולאפשר מצד שני שימוש באפליקציות Browser או הרחבות לדפדפן מבלי "לנעול" את המשתמש לשימוש באפליקציה שלהם בלבד. מאחר והפרצות הן לא בקטעי הקוד של מיקרוסופט וצורת העבודה של IE נופלת תחת הגדרת ה-By Design, מיקרוסופט מסירה מעצמה את האחריות לטיפול בנושא ומעבירה אותו חזרה לבעלי תוכנות צד-שלישי שאחראים על האפליקציות שלהם.

  • Print
  • email
  • Add to favorites
  • Facebook
  • Twitter
  • LinkedIn
  • Digg
  • del.icio.us
  • Google Bookmarks
  • FriendFeed
  • Netvibes
  • StumbleUpon
  • Suggest to Techmeme via Twitter
  • Technorati

תגים: , , , , , , , , ,

יניב פלדמן

מייסד האתר ועורך ראשי. טכנולוג בעל וותק של 10 שנים בעולם המחשוב ואבטחת המידע. כשהוא לא מתעסק בדברים שאפשר לפרק אותם, הוא לפעמים גם צונח חופשי, צולל (לא חופשי) ועושה עוד כל מיני דברים שמתחילים בצ'. מחזיק בתעודת תואר ראשון במנהל עסקים (על הקיר בשירותים) ותעודת Microsoft MVP (על הקיר בכניסה לבית). החל משנת 2007, עוסק במה שהוא הכי אוהב בעולם, מציאת פתרונות מסובכים לבעיות פשוטות במיוחד.

כתיבת תגובה