අප්රේල් 12 සිකුරාදා, තොරතුරු ආරක්ෂණ විශේෂඥ ජෝන් පේජ්, Internet Explorer හි වත්මන් අනුවාදයේ නිවැරදි නොකළ අවදානමක් පිළිබඳ තොරතුරු ප්රකාශයට පත් කළ අතර, එය ක්රියාත්මක කිරීම ද ප්රදර්ශනය කළේය. බ්රවුසරයේ ආරක්ෂාව මගහරිමින් Windows භාවිතා කරන්නන්ගේ දේශීය ලිපිගොනු වල අන්තර්ගතය ප්රහාරකයෙකුට ලබා ගැනීමට මෙම අනාරක්ෂිතභාවය ඉඩ දිය හැකිය.
අවදානම පවතින්නේ Internet Explorer MHTML ගොනු හසුරුවන ආකාරයෙනි, සාමාන්යයෙන් .mht හෝ .mhtml දිගුව සහිත ඒවාය. මෙම ආකෘතිය අන්තර්ජාල පිටු සුරැකීම සඳහා පෙරනිමියෙන් Internet Explorer විසින් භාවිතා කරනු ලබන අතර, ඔබට පිටුවේ සම්පූර්ණ අන්තර්ගතය සහ සියලුම මාධ්ය අන්තර්ගතයන් තනි ගොනුවක් ලෙස සුරැකීමට ඉඩ සලසයි. මේ මොහොතේ, බොහෝ නවීන බ්රව්සර් තවදුරටත් MHT ආකෘතියෙන් වෙබ් පිටු සුරැකෙන්නේ නැති අතර සම්මත WEB ආකෘතිය - HTML භාවිතා කරයි, නමුත් ඒවා තවමත් මෙම ආකෘතියේ ගොනු සැකසීමට සහාය වන අතර සුදුසු සැකසුම් සමඟ සුරැකීමට හෝ දිගු භාවිතා කිරීමට ද එය භාවිතා කළ හැකිය.
ජෝන් විසින් සොයා ගන්නා ලද අවදානම XXE (XML eXternal entity) දුර්වලතා පන්තියට අයත් වන අතර ඉන්ටර්නෙට් එක්ස්ප්ලෝරර් හි XML කේත හසුරුවන්නෙහි වැරදි වින්යාසයකින් සමන්විත වේ. “මෙම අවදානම දුරස්ථ ප්රහාරකයෙකුට පරිශීලකයාගේ දේශීය ලිපිගොනු වෙත ප්රවේශය ලබා ගැනීමට සහ උදාහරණයක් ලෙස, පද්ධතියේ ස්ථාපනය කර ඇති මෘදුකාංගයේ අනුවාදය පිළිබඳ තොරතුරු උපුටා ගැනීමට ඉඩ සලසයි,” Page පවසයි. "එබැවින් 'c:Python27NEWS.txt' සඳහා වූ විමසුමකින් එම වැඩසටහනේ අනුවාදය (මෙම අවස්ථාවෙහි පයිතන් පරිවර්තකය) ලබා දෙනු ඇත."
Windows හි සියලුම MHT ගොනු පෙරනිමියෙන් Internet Explorer හි විවෘත වන බැවින්, පරිශීලකයාට අවශ්ය වන්නේ විද්යුත් තැපෑල, සමාජ ජාල හෝ ක්ෂණික පණිවිඩකරුවන් මගින් ලැබෙන භයානක ගොනුවක් මත දෙවරක් ක්ලික් කිරීම පමණක් බැවින් මෙම අවදානම ගසාකෑම සුළු කාර්යයකි.
"සාමාන්යයෙන්, Microsoft.XMLHTTP වැනි ActiveX වස්තුවක් නිර්මාණය කරන විට, පරිශීලකයාට Internet Explorer හි ආරක්ෂක අනතුරු ඇඟවීමක් ලැබෙනු ඇති අතර එය අවහිර කළ අන්තර්ගතය සක්රිය කිරීමට තහවුරු කිරීමක් ඉල්ලා සිටිනු ඇත," පර්යේෂකයා පැහැදිලි කරයි. "කෙසේ වෙතත්, විෙශේෂෙයන් හැඩ ගන්වන ලද මාර්ක්අප් ටැග් භාවිතා කරමින් කලින් සකස් කරන ලද .mht ගොනුවක් විවෘත කරන විට හානිකර විය හැකි අන්තර්ගතයන් පිළිබඳ අනතුරු ඇඟවීම් පරිශීලකයාට නොලැබෙනු ඇත."
Page ට අනුව, ඔහු Windows 11, Windows 7 සහ Windows Server 10 R2012 හි සියලුම නවතම ආරක්ෂක යාවත්කාලීන කිරීම් සමඟ Internet Explorer 2 බ්රවුසරයේ වත්මන් අනුවාදයේ ඇති අවදානම සාර්ථකව පරීක්ෂා කළේය.
NetMarketShare ට අනුව, මෙම අනාරක්ෂිතභාවය පිළිබඳ මහජන හෙළිදරව්වේ ඇති එකම ශුභාරංචිය නම්, Internet Explorer හි වරක් ප්රමුඛ වෙළඳපල කොටස දැන් 7,34% දක්වා පහත වැටී තිබීමයි. නමුත් MHT ගොනු විවෘත කිරීම සඳහා වින්ඩෝස් ඉන්ටර්නෙට් එක්ස්ප්ලෝරර් පෙරනිමි යෙදුම ලෙස භාවිතා කරන බැවින්, පරිශීලකයින්ට ඔවුන්ගේ පෙරනිමි බ්රව්සරය ලෙස IE සැකසීමට අවශ්ය නොවන අතර, IE තවමත් ඔවුන්ගේ පද්ධතිවල පවතින තාක් සහ ඔවුන් මුදල් නොගෙවන තාක් කල් ඔවුන් තවමත් අවදානමට ලක් වේ. අන්තර්ජාලයේ බාගත කිරීමේ ආකෘති ගොනු වෙත අවධානය යොමු කරන්න.
මාර්තු 27 වෙනිදා, ජෝන් ඔවුන්ගේ බ්රවුසරයේ මෙම අවදානම ගැන Microsoft වෙත දැනුම් දුන් නමුත්, අප්රේල් 10 වන දින, පර්යේෂකයාට සමාගමෙන් ප්රතිචාරයක් ලැබුණි, එහිදී එය මෙම ගැටළුව තීරණාත්මක යැයි නොසලකන බව පෙන්නුම් කළේය.
මයික්රොසොෆ්ට් ලිපියේ සඳහන් කළේ “නිර්මාණය නිකුත් කරනු ලබන්නේ නිෂ්පාදනයේ ඊළඟ අනුවාදය සමඟ පමණි. "මෙම ගැටලුව සඳහා විසඳුමක් නිකුත් කිරීමට අපට දැනට කිසිදු සැලසුමක් නොමැත."
මයික්රොසොෆ්ට් වෙතින් පැහැදිලි ප්රතිචාරයකින් පසුව, පර්යේෂකයා ඔහුගේ වෙබ් අඩවියේ ශුන්ය-දින අවදානම පිළිබඳ විස්තර මෙන්ම යූ ටියුබ් හි ආදර්ශන කේතය සහ වීඩියෝවක් ප්රකාශයට පත් කළේය.
මෙම අවදානම ක්රියාත්මක කිරීම එතරම් සරල නොවන අතර කෙසේ හෝ නොදන්නා MHT ගොනුවක් ධාවනය කිරීමට පරිශීලකයාට බල කිරීම අවශ්ය වුවද, මයික්රොසොෆ්ට් වෙතින් ප්රතිචාර නොමැතිකම තිබියදීත් මෙම අවදානම සැහැල්ලුවෙන් නොගත යුතුය. හැකර් කණ්ඩායම් අතීතයේ දී තතුබෑම් සහ අනිෂ්ට මෘදුකාංග බෙදා හැරීම සඳහා MHT ගොනු භාවිතා කර ඇති අතර, දැන් ඔවුන් එසේ කිරීමෙන් කිසිවක් වළක්වන්නේ නැත.
කෙසේ වෙතත්, මෙය සහ ඒ හා සමාන බොහෝ දුර්වලතා මඟහරවා ගැනීම සඳහා, ඔබට අන්තර්ජාලයෙන් ලැබෙන ලිපිගොනු වල දිගුව කෙරෙහි අවධානය යොමු කළ යුතු අතර ඒවා ප්රති-වයිරසයකින් හෝ VirusTotal වෙබ් අඩවියෙන් පරීක්ෂා කරන්න. අමතර ආරක්ෂාව සඳහා, Internet Explorer හැර ඔබේ ප්රියතම බ්රවුසරය .mht හෝ .mhtml ගොනු සඳහා පෙරනිමි යෙදුම ලෙස සකසන්න. උදාහරණයක් ලෙස, Windows 10 මෙය "ගොනු වර්ග සඳහා සම්මත යෙදුම් තෝරන්න" මෙනුවෙහි ඉතා පහසුවෙන් සිදු කෙරේ.
මූලාශ්රය: 3dnews.ru