Air Dihaoine, 12 Giblean, dh’ fhoillsich eòlaiche tèarainteachd fiosrachaidh John Page fiosrachadh mu dheidhinn so-leòntachd neo-cheartaichte san dreach gnàthach de Internet Explorer, agus sheall e cuideachd gun deach a bhuileachadh. Dh’ fhaodadh an so-leòntachd seo leigeil le neach-ionnsaigh susbaint faidhlichean ionadail luchd-cleachdaidh Windows fhaighinn, a’ dol seachad air tèarainteachd brabhsair.
Tha an so-leòntachd anns an dòigh anns a làimhsicheas Internet Explorer faidhlichean MHTML, gu h-àbhaisteach an fheadhainn leis an leudachadh .mht no .mhtml. Tha an cruth seo air a chleachdadh le Internet Explorer gu bunaiteach airson duilleagan-lìn a shàbhaladh, agus leigidh e leat susbaint na duilleige gu lèir a shàbhaladh mar aon fhaidhle. Aig an àm seo, chan eil a’ mhòr-chuid de bhrobhsairean an latha an-diugh a’ sàbhaladh duilleagan lìn ann an cruth MHT agus a’ cleachdadh an cruth WEB àbhaisteach - HTML, ach tha iad fhathast a’ toirt taic do ghiollachd fhaidhlichean sa chruth seo, agus faodaidh iad cuideachd a chleachdadh airson sàbhaladh leis na roghainnean iomchaidh no cleachdadh leudachain.
Buinidh an so-leòntachd a lorg Iain don chlas so-leòntachd XXE (XML eExternal Entity) agus tha e a’ toirt a-steach rèiteachadh ceàrr air làimhseachadh còd XML ann an Internet Explorer. “Leigidh an so-leòntachd seo le neach-ionnsaigh iomallach cothrom fhaighinn air faidhlichean ionadail neach-cleachdaidh agus, mar eisimpleir, fiosrachadh a tharraing mun dreach de bhathar-bog a chaidh a chuir a-steach air an t-siostam,” arsa Page. msgstr "Mar sin tillidh ceist airson 'c:Python27NEWS.txt' an dreach den phrògram sin (an t-eadar-theangair Python sa chùis seo)."
Leis ann an Windows tha a h-uile faidhle MHT a’ fosgladh ann an Internet Explorer gu bunaiteach, is e obair bheag a th’ ann a bhith a’ gabhail brath air an so-leòntachd seo leis nach fheum an neach-cleachdaidh ach briogadh dùbailte air faidhle cunnartach a gheibhear tro phost-d, lìonraidhean sòisealta no teachdairean sa bhad.
“Mar as trice, nuair a chruthaicheas e eisimpleir de nì ActiveX, leithid Microsoft.XMLHTTP, gheibh an neach-cleachdaidh rabhadh tèarainteachd ann an Internet Explorer a dh’ iarras dearbhadh gus an susbaint dùinte a chuir an gnìomh, ”mhìnich an neach-rannsachaidh. “Ach, nuair a dh’ fhosglas tu faidhle .mht a chaidh ullachadh ro-làimh a’ cleachdadh tagaichean comharrachaidh le stoidhle sònraichte chan fhaigh an neach-cleachdaidh rabhaidhean mu shusbaint a dh'fhaodadh a bhith cronail."
A rèir Duilleag, rinn e deuchainn gu soirbheachail air so-leòntachd an dreach làithreach de bhrobhsair Internet Explorer 11 leis na h-ùrachaidhean tèarainteachd as ùire air Windows 7, Windows 10 agus Windows Server 2012 R2.
Is dòcha gur e an aon deagh naidheachd ann am foillseachadh poblach air an so-leòntachd seo gu bheil an roinn margaidh a bha uair làmh an uachdair aig Internet Explorer a-nis air tuiteam gu dìreach 7,34%, a rèir NetMarketShare. Ach leis gu bheil Windows a’ cleachdadh Internet Explorer mar an aplacaid bunaiteach airson faidhlichean MHT fhosgladh, gu riatanach chan fheum luchd-cleachdaidh IE a shuidheachadh mar am brabhsair bunaiteach aca, agus tha iad fhathast so-leònte fhad ‘s a tha IE fhathast an làthair air na siostaman aca agus chan eil iad a’ pàigheadh. Thoir an aire gu na faidhlichean a luchdachadh sìos air an eadar-lìn.
Air ais air 27 Màrt, chuir Iain fios gu Microsoft mun chugallachd seo anns a’ bhrobhsair aca, ach air 10 Giblean, fhuair an neach-rannsachaidh freagairt bhon chompanaidh, far an do chomharraich e nach robh iad den bheachd gu robh an duilgheadas seo deatamach.
“Cha tèid am fuasgladh a leigeil ma sgaoil ach leis an ath dhreach den toradh,” thuirt Microsoft anns an litir. “Chan eil planaichean againn an-dràsta fuasgladh fhaighinn air a’ chùis seo. ”
Às deidh freagairt shoilleir bho Microsoft, dh’ fhoillsich an neach-rannsachaidh mion-fhiosrachadh mun so-leòntachd latha neoni air an làrach-lìn aige, a bharrachd air còd demo agus bhidio air YouTube.
Ged nach eil buileachadh an so-leòntachd seo cho sìmplidh agus a dh’ fheumas dòigh air choireigin toirt air an neach-cleachdaidh faidhle MHT neo-aithnichte a ruith, cha bu chòir an so-leòntachd seo a ghabhail gu aotrom a dh’ aindeoin dìth freagairt bho Microsoft. Tha buidhnean hacker air faidhlichean MHT a chleachdadh airson fiasgach agus cuairteachadh malware san àm a dh’ fhalbh, agus cha chuir dad stad orra bho bhith a ’dèanamh sin a-nis.
Ach, gus seo agus mòran so-leòntachd coltach ris a sheachnadh, cha leig thu leas ach aire a thoirt do leudachadh nam faidhlichean a gheibh thu bhon eadar-lìn agus sùil a thoirt orra le anti-bhìoras no air làrach-lìn VirusTotal. Agus airson tèarainteachd a bharrachd, dìreach suidhich am brabhsair as fheàrr leat a bharrachd air Internet Explorer mar an tagradh bunaiteach airson faidhlichean .mht no .mhtml. Mar eisimpleir, ann an Windows 10 tha seo air a dhèanamh gu math furasta anns a’ chlàr “Tagh tagraidhean àbhaisteach airson seòrsaichean faidhle”.
Source: 3d naidheachdan.ru