האקר ישראלי גילה פירצה באינטרנט אקספלורר
מתן גילון גילה כשל אבטחה בדפדפן אינטרנט אקספלורר, המאפשר לפורץ לקבל גישה למידע אישי של משתמשי Google Dektop 2. לדבריו, הפירצה עלולה להתקיים גם בתוכנות אחרות מאחר והיא קשורה בבעיה במנגנון האבטחה של הדפדפן
ההאקר הישראלי מתן גילון גילה פירצת אבטחה בדפדפן אינטרנט אקספלורר של מיקרוסופט, שעלולה לאפשר להאקר להשתמש בתוכנת Google Dektop בכדי לקבל גישה מרחוק למידע אישי כמו סיסמאות או פרטי האשראי של הגולש, כך מדווח אתר NewsFactor.
לדברי גילון, הפירצה פוגעת בגולשי IE, שבמחשבם מותקנת Google Desktop 2, תוכנת החיפוש של גוגל, שמאפשרת לבצע חיפוש במחשב וברשת במקביל, ומתבצעת באמצעות XSS (קיצור ל-cross site scripting), במסגרתה כל שנדרש מהתוקף הוא לפתות גולשים להיכנס לאתר בו מוטמע קוד זדוני, וכך לקבל גישה למידע או לבצע פעולות תוך שימוש במחשב של הקורבן.
הכשל התכנוני נובע מבעיה במנגנון האבטחה של IE, שמאפשר להפר רכיב אבטחתי מהותי בעת טיפול בקבצים שמורים לו לעבור מאתר לאתר. לדברי גילון, הרכיב הבעייתי הוא מודל האבטחה Cross Domain של הדפדפן, ולכן התוכנה של גוגל עשויה להיות אחת מיני רבות שמאפשרות ניצול לרעה של הפירצה.
"בדרך כלל, דפדפנים מטילים מגבלות מחמירות על אינטראקציה בין אתרים שמתרחשת דרך הדפדפן. דף ספציפי יכול להעביר גולש מדומיין לדומיין, אבל נאסר עליו לקרוא את התוכן שמופיע בעמוד החדש. ב-IE, המגבלות הללו אינן מתייחסות ל-CSS (או cascading style sheet, מעין שפה המשמשת לעיצוב דפי אינטרנט), שבעזרתה מתבצעת הפריצה למחשב", כתב.
במיקרוסופט עובדים על תיקון
גילון, שפירסם את דבר הפירצה והוכחה לקיומה באתר אבטחה, סבור שאין דרך קלה להגן על הגולשים מפני הפירצה, ומזהיר כי "מיליוני משתמשי IE עשויים להיפגע מהכשל".
במיקרוסופט הודו כי הפירצה אכן קיימת, אולם ציינו כי לא ידוע להם על גולשים שנפגעו ממנה. אניש החברה מפתחים עדכון לכשל, ויתכן שיספקו הסברים למניעתה עוד בטרם יופץ העדכון. גילון מצידו מציע להשתמש בדפדפן אחר או לחסום את התמיכה ב-JavaScript ב-IE. בגוגל בוחנים גם כן את הנושא, אך מקפידים לציין שמדובר בבעיה ב-IE ולא בתוכנת החיפוש שלהם.
IE. פירצה נוספת
מומלצים
