Mnamo Ijumaa, Aprili 12, mtaalamu wa usalama wa habari John Page alichapisha taarifa kuhusu udhaifu usiorekebishwa katika toleo la sasa la Internet Explorer, na pia alionyesha utekelezaji wake. Athari hii inaweza kumruhusu mshambulizi kupata yaliyomo kwenye faili za karibu za watumiaji wa Windows, kwa kupita usalama wa kivinjari.
Athari iko katika jinsi Internet Explorer inavyoshughulikia faili za MHTML, kwa kawaida zile zilizo na kiendelezi cha .mht au .mhtml. Umbizo hili linatumiwa na Internet Explorer kwa chaguo-msingi kwa kuhifadhi kurasa za wavuti, na hukuruhusu kuhifadhi maudhui yote ya ukurasa pamoja na maudhui yote ya midia kama faili moja. Kwa sasa, vivinjari vingi vya kisasa havihifadhi tena kurasa za wavuti katika umbizo la MHT na kutumia umbizo la kawaida la WEB - HTML, lakini bado vinaauni faili za usindikaji katika umbizo hili, na pia zinaweza kuitumia kuhifadhi na mipangilio inayofaa au kutumia viendelezi.
Athari iliyogunduliwa na John ni ya aina ya XXE (XML eExternal Entity) ya udhaifu na inajumuisha usanidi usio sahihi wa kidhibiti cha msimbo wa XML katika Internet Explorer. "Udhaifu huu huruhusu mvamizi wa mbali kupata ufikiaji wa faili za karibu za mtumiaji na, kwa mfano, kutoa maelezo kuhusu toleo la programu iliyosakinishwa kwenye mfumo," inasema Page. "Kwa hivyo swali la 'c:Python27NEWS.txt' litarudisha toleo la programu hiyo (mkalimani wa Python katika kesi hii)."
Kwa kuwa katika Windows faili zote za MHT hufunguliwa katika Internet Explorer kwa chaguo-msingi, kutumia udhaifu huu ni kazi ndogo kwani mtumiaji anahitaji tu kubofya mara mbili faili hatari iliyopokelewa na barua pepe, mitandao ya kijamii au wajumbe wa papo hapo.
"Kwa kawaida, wakati wa kuunda mfano wa kitu cha ActiveX, kama vile Microsoft.XMLHTTP, mtumiaji atapokea onyo la usalama katika Internet Explorer ambalo litaomba uthibitisho ili kuwezesha maudhui yaliyozuiwa," anafafanua mtafiti. "Hata hivyo, wakati wa kufungua faili iliyotayarishwa awali ya .mht kwa kutumia lebo maalum za kuweka alama mtumiaji hatapokea maonyo kuhusu maudhui yanayoweza kudhuru."
Kulingana na Ukurasa, alijaribu kwa ufanisi kuathirika katika toleo la sasa la kivinjari cha Internet Explorer 11 na masasisho yote ya hivi punde ya usalama kwenye Windows 7, Windows 10 na Windows Server 2012 R2.
Labda habari njema pekee katika ufichuzi wa hadharani wa hatari hii ni ukweli kwamba soko kuu la Internet Explorer sasa limeshuka hadi 7,34% tu, kulingana na NetMarketShare. Lakini kwa kuwa Windows hutumia Internet Explorer kama programu-msingi ya kufungua faili za MHT, watumiaji si lazima waweke IE kama kivinjari chao chaguo-msingi, na bado wako hatarini maadamu IE bado iko kwenye mifumo yao na hawalipi. makini na faili za umbizo la upakuaji kwenye mtandao.
Mnamo Machi 27, John aliarifu Microsoft juu ya hatari hii katika kivinjari chao, lakini mnamo Aprili 10, mtafiti alipokea jibu kutoka kwa kampuni, ambapo ilionyesha kuwa haikuzingatia shida hii kuwa muhimu.
"Marekebisho yatatolewa tu na toleo linalofuata la bidhaa," Microsoft ilisema kwenye barua hiyo. "Kwa sasa hatuna mpango wa kutoa suluhisho la suala hili."
Baada ya jibu wazi kutoka kwa Microsoft, mtafiti alichapisha maelezo ya uwezekano wa siku sifuri kwenye tovuti yake, pamoja na msimbo wa onyesho na video kwenye YouTube.
Ingawa utekelezaji wa athari hii si rahisi na unahitaji kwa njia fulani kulazimisha mtumiaji kuendesha faili isiyojulikana ya MHT, athari hii haipaswi kuchukuliwa kwa uzito licha ya ukosefu wa jibu kutoka kwa Microsoft. Vikundi vya wadukuzi vimetumia faili za MHT kwa ulaghai na usambazaji wa programu hasidi hapo awali, na hakuna kitakachowazuia kufanya hivyo sasa.
Walakini, ili kuzuia udhaifu huu na nyingi zinazofanana, unahitaji tu kuzingatia upanuzi wa faili unazopokea kutoka kwa Mtandao na uangalie na antivirus au kwenye tovuti ya VirusTotal. Na kwa usalama ulioongezwa, weka kivinjari chako unachopenda zaidi ya Internet Explorer kama programu chaguomsingi ya faili za .mht au .mhtml. Kwa mfano, katika Windows 10 hii inafanywa kwa urahisi kabisa kwenye menyu ya "Chagua programu za kawaida za aina za faili".
Chanzo: 3dnews.ru