Babak_King
20-12-2005, 13:03
سانفرانسيسكو- كاربران كامپيوتری كه تا حالا جديدترين نسخه مرورگر Firefox ساخت موزيلا را Upgrade نكردهاند، اكنون ديگر بايد اين كار را بكنند زيرا هكرها با نامه Aviv Raff قصد هك اين مرورگر را دارند.
هفته گذشته Raff كد نمونه را منتشر كردند:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] lnerabilityNewExploit.asp
كه ممكن است كامپيوترهای كاربرانی كه مرورگر Firefox نسخه 9.0.4 يا پايين تر را اجرا میكنند، هك كند. اين سو استفاده از يك نقص شناخته شده ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) استفاده میكند، در روش پردازش Firefox از زبان برنامه نويسی شبكه يعنی جاوا اسكريپت اين كار را میكند. Raff در blog خود نوشته است كه ، فكر میكنم ديگر مردم به اندازه كافی وقت داشتهاند تا Firefox را از v 1.0.4 ارتقا دهند. پس اين جا من سو استفاده و كشف نقص را ثابت میكنم.
Mike Schroepfer، قائم مقام مهندسی در شركت موزيلا میگويد، اين نقص در نسخه 1.0.5 موزيلا كه جولای گذشته عرضه شد برطرف شد و در نسخه Mozilla Suite 1.7.9 نيز بر طرف شده است. تا وقتی كه كاربران به آخرين نسخه ارتقا يافته باشند، به طور كلی آنها در امان هستند.
Russ Cooper سردبير ليست خبری NTBugtraq و از دانشمندان امنيتی در شركت سازنده Cyber Trust Inc میگويد، تا حدودی اين آخرين سو استفاده بسيار شبيه كد حمله بسيار فراگيری است كه درگير مرورگر اينترنت اكسپلورر مايكروسافت شده بود. وی میگويد، اين حمله میتواند به انتخاب هكر يك كد را در كامپيوتر خود قربانی نصب و اجرا كند.
Cooper میگويد، كاربرانی كه عادت به update مرورگرهايشان ندارند بايد روش خود را تغيير دهند زيرا اين مرورگرها هميشه بسيار شكننده بودهاند. يعنی كه اين مرورگرها هميشه آسيبپذير بودهاند و میگويد، شما میبايست فايل اصلاحی اين مرورگرها را هر 30 روز يكبار بدون توجه به آنكه اين فايلهای اصلاحی برای چه منظوری تهيه شدهاند، نصب كنيد.
كد IE كه نوامبر عرضه شد، از مشكل جاوا اسكريپت كه هنوز اصلاح نشده است، سو استفاده میكند.
بسياری از متخصصين امنيتی انتظار دارند مايكروسافت اين نقص جاوا اسكريپت را برطرف كند. اما اين غول نرمافزار مستقر در ردموند واشنگتن هنوز اين مسئله را تثبيت نكرده است
هفته گذشته Raff كد نمونه را منتشر كردند:
[ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ] lnerabilityNewExploit.asp
كه ممكن است كامپيوترهای كاربرانی كه مرورگر Firefox نسخه 9.0.4 يا پايين تر را اجرا میكنند، هك كند. اين سو استفاده از يك نقص شناخته شده ([ برای مشاهده لینک ، لطفا با نام کاربری خود وارد شوید یا ثبت نام کنید ]) استفاده میكند، در روش پردازش Firefox از زبان برنامه نويسی شبكه يعنی جاوا اسكريپت اين كار را میكند. Raff در blog خود نوشته است كه ، فكر میكنم ديگر مردم به اندازه كافی وقت داشتهاند تا Firefox را از v 1.0.4 ارتقا دهند. پس اين جا من سو استفاده و كشف نقص را ثابت میكنم.
Mike Schroepfer، قائم مقام مهندسی در شركت موزيلا میگويد، اين نقص در نسخه 1.0.5 موزيلا كه جولای گذشته عرضه شد برطرف شد و در نسخه Mozilla Suite 1.7.9 نيز بر طرف شده است. تا وقتی كه كاربران به آخرين نسخه ارتقا يافته باشند، به طور كلی آنها در امان هستند.
Russ Cooper سردبير ليست خبری NTBugtraq و از دانشمندان امنيتی در شركت سازنده Cyber Trust Inc میگويد، تا حدودی اين آخرين سو استفاده بسيار شبيه كد حمله بسيار فراگيری است كه درگير مرورگر اينترنت اكسپلورر مايكروسافت شده بود. وی میگويد، اين حمله میتواند به انتخاب هكر يك كد را در كامپيوتر خود قربانی نصب و اجرا كند.
Cooper میگويد، كاربرانی كه عادت به update مرورگرهايشان ندارند بايد روش خود را تغيير دهند زيرا اين مرورگرها هميشه بسيار شكننده بودهاند. يعنی كه اين مرورگرها هميشه آسيبپذير بودهاند و میگويد، شما میبايست فايل اصلاحی اين مرورگرها را هر 30 روز يكبار بدون توجه به آنكه اين فايلهای اصلاحی برای چه منظوری تهيه شدهاند، نصب كنيد.
كد IE كه نوامبر عرضه شد، از مشكل جاوا اسكريپت كه هنوز اصلاح نشده است، سو استفاده میكند.
بسياری از متخصصين امنيتی انتظار دارند مايكروسافت اين نقص جاوا اسكريپت را برطرف كند. اما اين غول نرمافزار مستقر در ردموند واشنگتن هنوز اين مسئله را تثبيت نكرده است