Ar an Aoine, 12 Aibreán, d’fhoilsigh an speisialtóir slándála faisnéise John Page faisnéis faoi leochaileacht neamhcheartaithe sa leagan reatha de Internet Explorer, agus léirigh sé a chur i bhfeidhm freisin. D'fhéadfadh an leochaileacht seo ligean d'ionsaitheoir a bhfuil i gcomhaid áitiúla úsáideoirí Windows a fháil, ag seachaint slándáil an bhrabhsálaí.
Tá an leochaileacht sa chaoi a láimhseálann Internet Explorer comhaid MHTML, go hiondúil iad siúd leis an síneadh .mht nó .mhtml. Úsáideann Internet Explorer an fhormáid seo de réir réamhshocraithe chun leathanaigh ghréasáin a shábháil, agus ligeann sé duit inneachar iomlán an leathanaigh a shábháil mar aon le hábhar meán ar fad. I láthair na huaire, ní shábhálann an chuid is mó de na brabhsálaithe nua-aimseartha leathanaigh ghréasáin san fhormáid MHT a thuilleadh agus úsáideann siad an fhormáid chaighdeánach WEB - HTML, ach tacaíonn siad fós le comhaid a phróiseáil san fhormáid seo, agus is féidir iad a úsáid freisin chun iad a shábháil leis na socruithe cuí nó chun síntí a úsáid.
Baineann an leochaileacht a d’aimsigh John leis an aicme leochaileachtaí XXE (Eintiteas Seachtrach XML) agus cuimsíonn sí cumraíocht mhícheart láimhseálaí an chóid XML in Internet Explorer. “Ceadaíonn an leochaileacht seo d’ionsaitheoir cianda rochtain a fháil ar chomhaid áitiúla úsáideora agus, mar shampla, faisnéis a bhaint as an leagan de bhogearraí atá suiteáilte ar an gcóras,” a deir Page. msgstr "Mar sin cuirfidh ceist le haghaidh 'c:Python27NEWS.txt' leagan an chláir sin ar ais (an t-ateangaire Python sa chás seo)."
Ós rud é i Windows go n-osclaíonn gach comhad MHT in Internet Explorer de réir réamhshocraithe, is tasc fánach é leas a bhaint as an leochaileacht seo mar ní gá don úsáideoir ach cliceáil faoi dhó ar chomhad contúirteach a fhaightear trí ríomhphost, líonraí sóisialta nó teachtairí meandracha.
“Go hiondúil, agus sampla de réad ActiveX á chruthú, mar Microsoft.XMLHTTP, gheobhaidh an t-úsáideoir rabhadh slándála in Internet Explorer a iarrfaidh deimhniú chun an t-ábhar a bhfuil bac air a ghníomhachtú,” a mhíníonn an taighdeoir. “Mar sin féin, nuair a osclaítear comhad .mht réamhullmhaithe ag baint úsáide as clibeanna marcála sain-stílithe ní bhfaighidh an t-úsáideoir rabhaidh faoi ábhar a d'fhéadfadh a bheith díobhálach."
De réir Leathanach, rinne sé tástáil rathúil ar an leochaileacht sa leagan reatha den bhrabhsálaí Internet Explorer 11 leis na nuashonruithe slándála is déanaí go léir ar Windows 7, Windows 10 agus Windows Server 2012 R2.
B’fhéidir gurb é an t-aon dea-scéala i nochtadh poiblí na leochaileachta seo ná go bhfuil sciar den mhargadh a bhí uair ceannasach ag Internet Explorer tar éis titim go dtí 7,34% go díreach, dar le NetMarketShare. Ach ós rud é go n-úsáideann Windows Internet Explorer mar an feidhmchlár réamhshocraithe chun comhaid MHT a oscailt, ní gá go gcaithfidh úsáideoirí IE a shocrú mar a mbrabhsálaí réamhshocraithe, agus tá siad fós leochaileach chomh fada agus atá IE fós i láthair ar a gcórais agus ní íocann siad Tabhair aird ar na comhaid a íoslódáil ar an Idirlíon.
Ar ais ar 27 Márta, chuir John in iúl do Microsoft faoin leochaileacht seo ina bhrabhsálaí, ach ar 10 Aibreán, fuair an taighdeoir freagra ón gcuideachta, áit a léirigh sé nár mheas sé go raibh an fhadhb seo ríthábhachtach.
“Ní dhéanfar an socrú a scaoileadh ach amháin leis an gcéad leagan eile den táirge,” a dúirt Microsoft sa litir. "Níl aon phlean againn faoi láthair réiteach a scaoileadh ar an gceist seo."
Tar éis freagra soiléir ó Microsoft, d'fhoilsigh an taighdeoir sonraí faoin leochaileacht náid-lá ar a láithreán gréasáin, chomh maith le cód taispeána agus físeán ar YouTube.
Cé nach bhfuil cur i bhfeidhm na leochaileachta seo chomh simplí sin agus go n-éilíonn sé ar bhealach éigin iallach a chur ar an úsáideoir comhad MHT anaithnid a rith, níor cheart an leochaileacht seo a ghlacadh go héadrom in ainneoin an easpa freagartha ó Microsoft. Bhain grúpaí hackers úsáid as comhaid MHT le haghaidh fioscaireachta agus dáileadh malware san am atá caite, agus ní chuirfidh aon rud bac orthu é sin a dhéanamh anois.
Mar sin féin, chun é seo agus go leor leochaileachtaí comhchosúla a sheachaint, ní gá duit ach aird a thabhairt ar shíneadh na gcomhad a fhaigheann tú ón Idirlíon agus iad a sheiceáil le antivirus nó ar shuíomh Gréasáin VirusTotal. Agus ar mhaithe le slándáil bhreise, níl le déanamh ach an brabhsálaí is fearr leat a shocrú seachas Internet Explorer mar an feidhmchlár réamhshocraithe do chomhaid .mht nó .mhtml. Mar shampla, i Windows 10 déantar é seo go héasca go leor sa roghchlár “Roghnaigh feidhmchláir chaighdeánacha do chineálacha comhaid”.
Foinse: 3dnews.ru