ఏప్రిల్ 12, శుక్రవారం, సమాచార భద్రతా నిపుణుడు జాన్ పేజ్ ప్రస్తుత ఇంటర్నెట్ ఎక్స్ప్లోరర్ వెర్షన్లో సరిదిద్దని దుర్బలత్వం గురించి సమాచారాన్ని ప్రచురించారు మరియు దాని అమలును కూడా ప్రదర్శించారు. ఈ దుర్బలత్వం బ్రౌజర్ భద్రతను దాటవేస్తూ Windows వినియోగదారుల స్థానిక ఫైల్ల కంటెంట్లను పొందేందుకు దాడి చేసే వ్యక్తిని సమర్థవంతంగా అనుమతించగలదు.
సాధారణంగా .mht లేదా .mhtml పొడిగింపు ఉన్న MHTML ఫైల్లను Internet Explorer హ్యాండిల్ చేసే విధానంలో దుర్బలత్వం ఉంటుంది. ఈ ఫార్మాట్ వెబ్ పేజీలను సేవ్ చేయడానికి డిఫాల్ట్గా Internet Explorer ద్వారా ఉపయోగించబడుతుంది మరియు పేజీలోని మొత్తం కంటెంట్ని మొత్తం మీడియా కంటెంట్తో పాటు ఒకే ఫైల్గా సేవ్ చేయడానికి మిమ్మల్ని అనుమతిస్తుంది. ప్రస్తుతానికి, చాలా ఆధునిక బ్రౌజర్లు ఇకపై వెబ్ పేజీలను MHT ఫార్మాట్లో సేవ్ చేయవు మరియు ప్రామాణిక WEB ఫార్మాట్ - HTMLని ఉపయోగిస్తాయి, అయితే అవి ఇప్పటికీ ఈ ఫార్మాట్లో ఫైల్లను ప్రాసెస్ చేయడానికి మద్దతు ఇస్తాయి మరియు తగిన సెట్టింగ్లతో సేవ్ చేయడానికి లేదా పొడిగింపులను ఉపయోగించడానికి కూడా ఉపయోగించవచ్చు.
జాన్ కనుగొన్న దుర్బలత్వం XXE (XML eXternal ఎంటిటీ) దుర్బలత్వాల తరగతికి చెందినది మరియు Internet Explorerలో XML కోడ్ హ్యాండ్లర్ యొక్క తప్పు కాన్ఫిగరేషన్ను కలిగి ఉంటుంది. "ఈ దుర్బలత్వం రిమోట్ అటాకర్ను వినియోగదారు యొక్క స్థానిక ఫైల్లకు యాక్సెస్ని పొందడానికి అనుమతిస్తుంది మరియు ఉదాహరణకు, సిస్టమ్లో ఇన్స్టాల్ చేయబడిన సాఫ్ట్వేర్ వెర్షన్ గురించి సమాచారాన్ని సంగ్రహిస్తుంది" అని పేజ్ చెప్పింది. "కాబట్టి 'c:Python27NEWS.txt' కోసం ఒక ప్రశ్న ఆ ప్రోగ్రామ్ యొక్క సంస్కరణను అందిస్తుంది (ఈ సందర్భంలో పైథాన్ ఇంటర్ప్రెటర్)."
విండోస్లో అన్ని MHT ఫైల్లు డిఫాల్ట్గా Internet Explorerలో తెరవబడతాయి కాబట్టి, ఈ దుర్బలత్వాన్ని ఉపయోగించుకోవడం చాలా చిన్న పని, ఎందుకంటే వినియోగదారు ఇమెయిల్, సోషల్ నెట్వర్క్లు లేదా ఇన్స్టంట్ మెసెంజర్ల ద్వారా స్వీకరించబడిన ప్రమాదకరమైన ఫైల్పై రెండుసార్లు మాత్రమే క్లిక్ చేయాలి.
"సాధారణంగా, Microsoft.XMLHTTP వంటి ActiveX వస్తువు యొక్క ఉదాహరణను సృష్టించేటప్పుడు, వినియోగదారు ఇంటర్నెట్ ఎక్స్ప్లోరర్లో భద్రతా హెచ్చరికను అందుకుంటారు, అది బ్లాక్ చేయబడిన కంటెంట్ను సక్రియం చేయడానికి నిర్ధారణ కోసం అడుగుతుంది" అని పరిశోధకుడు వివరించాడు. "అయితే, ప్రత్యేకంగా స్టైల్ చేసిన మార్కప్ ట్యాగ్లను ఉపయోగించి ముందుగా సిద్ధం చేసిన .mht ఫైల్ను తెరిచేటప్పుడు హానికరమైన కంటెంట్ గురించి వినియోగదారు హెచ్చరికలను స్వీకరించరు."
పేజీ ప్రకారం, అతను Windows 11, Windows 7 మరియు Windows Server 10 R2012లో అన్ని తాజా భద్రతా నవీకరణలతో ఇంటర్నెట్ ఎక్స్ప్లోరర్ 2 బ్రౌజర్ యొక్క ప్రస్తుత వెర్షన్లోని దుర్బలత్వాన్ని విజయవంతంగా పరీక్షించాడు.
NetMarketShare ప్రకారం, ఇంటర్నెట్ ఎక్స్ప్లోరర్ యొక్క ఒకప్పుడు ఆధిపత్య మార్కెట్ వాటా ఇప్పుడు కేవలం 7,34%కి పడిపోయిందనే వాస్తవం ఈ దుర్బలత్వాన్ని బహిరంగంగా బహిర్గతం చేయడంలో ఉన్న ఏకైక శుభవార్త. MHT ఫైల్లను తెరవడానికి Windows ఇంటర్నెట్ ఎక్స్ప్లోరర్ను డిఫాల్ట్ అప్లికేషన్గా ఉపయోగిస్తుంది కాబట్టి, వినియోగదారులు తప్పనిసరిగా IEని తమ డిఫాల్ట్ బ్రౌజర్గా సెట్ చేయనవసరం లేదు మరియు IE ఇప్పటికీ వారి సిస్టమ్లలో ఉన్నంత వరకు మరియు వారు చెల్లించనంత వరకు వారు హాని కలిగి ఉంటారు. ఇంటర్నెట్లోని డౌన్లోడ్ ఫార్మాట్ ఫైల్లపై శ్రద్ధ వహించండి.
తిరిగి మార్చి 27న, జాన్ తమ బ్రౌజర్లో ఈ దుర్బలత్వం గురించి మైక్రోసాఫ్ట్కు తెలియజేశాడు, అయితే ఏప్రిల్ 10న, పరిశోధకుడు కంపెనీ నుండి ప్రతిస్పందనను అందుకున్నాడు, అక్కడ ఈ సమస్యను క్లిష్టమైనదిగా పరిగణించడం లేదని సూచించింది.
"పరిష్కారం ఉత్పత్తి యొక్క తదుపరి సంస్కరణతో మాత్రమే విడుదల చేయబడుతుంది" అని మైక్రోసాఫ్ట్ లేఖలో పేర్కొంది. "ఈ సమస్యకు పరిష్కారాన్ని విడుదల చేయడానికి మాకు ప్రస్తుతం ఎటువంటి ప్రణాళిక లేదు."
మైక్రోసాఫ్ట్ నుండి స్పష్టమైన ప్రతిస్పందన తర్వాత, పరిశోధకుడు తన వెబ్సైట్లో జీరో-డే దుర్బలత్వం యొక్క వివరాలను అలాగే YouTubeలో డెమో కోడ్ మరియు వీడియోను ప్రచురించాడు.
ఈ దుర్బలత్వాన్ని అమలు చేయడం అంత సులభం కానప్పటికీ, తెలియని MHT ఫైల్ను అమలు చేయమని వినియోగదారుని బలవంతం చేయాల్సిన అవసరం ఉన్నప్పటికీ, Microsoft నుండి ప్రతిస్పందన లేనప్పటికీ ఈ దుర్బలత్వాన్ని తేలికగా తీసుకోకూడదు. హ్యాకర్ సమూహాలు గతంలో ఫిషింగ్ మరియు మాల్వేర్ పంపిణీ కోసం MHT ఫైల్లను ఉపయోగించాయి మరియు ఇప్పుడు అలా చేయకుండా వాటిని ఏదీ ఆపదు.
అయినప్పటికీ, దీన్ని మరియు ఇలాంటి అనేక దుర్బలత్వాలను నివారించడానికి, మీరు ఇంటర్నెట్ నుండి స్వీకరించే ఫైల్ల పొడిగింపుపై శ్రద్ధ వహించాలి మరియు వాటిని యాంటీవైరస్ లేదా వైరస్టోటల్ వెబ్సైట్లో తనిఖీ చేయాలి. మరియు అదనపు భద్రత కోసం, ఇంటర్నెట్ ఎక్స్ప్లోరర్ కాకుండా మీకు ఇష్టమైన బ్రౌజర్ను .mht లేదా .mhtml ఫైల్ల కోసం డిఫాల్ట్ అప్లికేషన్గా సెట్ చేయండి. ఉదాహరణకు, Windows 10లో ఇది "ఫైల్ రకాల కోసం ప్రామాణిక అనువర్తనాలను ఎంచుకోండి" మెనులో చాలా సులభంగా చేయబడుతుంది.
మూలం: 3dnews.ru