Saeed_TnT
30-06-2005, 11:03
سرويس اخبار خارجي ايتنا - شركت امنيتي Secunia از يك حفره امنيتي در بسياري از مرورگرها خبر داد كه ميتواند كاربران را در معرض حملات phishing قرار دهد. IE، فايرفاكس و Safari مرورگرهايي هستند كه از اين آسيبپذيري معروف به dialog origin spoofing در امان نبوده و به نظر ميرسد تنها Opera 8.01 در برابر حملات مذكور مصون باشد.
اين آسيبپذيري به هكرها اجازه ميدهد تا با كمك JavaScript، يك پنجره محاورهاي (همان dialog box) در مقابل ديدگان كاربر باز كرده، و از او بخواهد اطلاعات محرمانهاي را وارد كند.
اهميت اين خطر از آنجاست كه كاربر قادر به تشخيص مبدأ پيام (origin) نميباشد.
مشكل پنجرههاي محاورهاي جاوا اسكريپت اين است كه آدرس مبدأ خود را نگهداري نكرده و پيغام آنها به گونهاي ظاهر ميشود كه به نظر ميرسد از وبسايتهاي قابل اعتمادي چون ياهو، گوگل و ... فرستاده شده است.
ارائه يك لينك به اين سايتهاي معروف از جانب هكرها، منجر به اجراي يك pop-up و درخواست اطلاعات محرمانه ميگردد.
مايكروسافت عليرغم تأييد اين حفره امنيتي، وصلهاي براي آن ارائه نخواهد كرد، چرا كه اين حفره را ناقض استاندارد كنوني مرورگرهاي وب نميداند و معتقد است كه كمي تفكر پيش از وارد نمودن اطلاعات در يك مرورگر، از عواقب آن جلوگيري خواهد كرد.
«پنجرهاي كه حاوي نوار آدرس نبوده و يا قفل امنيتي لازم براي تأييد گواهي خود را دارا نميباشد، به دليل عدم ارائه اطلاعات كافي به كاربران، مبناي صحيحي براي قضاوت نخواهد بود.»
اين آسيبپذيري به هكرها اجازه ميدهد تا با كمك JavaScript، يك پنجره محاورهاي (همان dialog box) در مقابل ديدگان كاربر باز كرده، و از او بخواهد اطلاعات محرمانهاي را وارد كند.
اهميت اين خطر از آنجاست كه كاربر قادر به تشخيص مبدأ پيام (origin) نميباشد.
مشكل پنجرههاي محاورهاي جاوا اسكريپت اين است كه آدرس مبدأ خود را نگهداري نكرده و پيغام آنها به گونهاي ظاهر ميشود كه به نظر ميرسد از وبسايتهاي قابل اعتمادي چون ياهو، گوگل و ... فرستاده شده است.
ارائه يك لينك به اين سايتهاي معروف از جانب هكرها، منجر به اجراي يك pop-up و درخواست اطلاعات محرمانه ميگردد.
مايكروسافت عليرغم تأييد اين حفره امنيتي، وصلهاي براي آن ارائه نخواهد كرد، چرا كه اين حفره را ناقض استاندارد كنوني مرورگرهاي وب نميداند و معتقد است كه كمي تفكر پيش از وارد نمودن اطلاعات در يك مرورگر، از عواقب آن جلوگيري خواهد كرد.
«پنجرهاي كه حاوي نوار آدرس نبوده و يا قفل امنيتي لازم براي تأييد گواهي خود را دارا نميباشد، به دليل عدم ارائه اطلاعات كافي به كاربران، مبناي صحيحي براي قضاوت نخواهد بود.»