Рӯзи ҷумъа, 12 апрел, мутахассиси амнияти иттилоотӣ Ҷон Пейҷ дар бораи осебпазирии ислоҳнашуда дар версияи кунунии Internet Explorer маълумот нашр кард ва татбиқи онро низ намоиш дод. Ин осебпазирӣ метавонад ба ҳамлагар имкон диҳад, ки мундариҷаи файлҳои маҳаллии корбарони Windows-ро бо канорагирӣ аз амнияти браузер дастрас кунад.
Осебпазирӣ дар он аст, ки Internet Explorer файлҳои MHTML, маъмулан бо васеъшавии .mht ё .mhtml кор мекунад. Ин формат аз ҷониби Internet Explorer ба таври нобаёнӣ барои захира кардани саҳифаҳои веб истифода мешавад ва ба шумо имкон медиҳад, ки тамоми мундариҷаи саҳифаро дар баробари тамоми мундариҷаи медиавӣ ҳамчун як файл захира кунед. Дар айни замон, аксари браузерҳои муосир дигар саҳифаҳои вебро дар формати MHT захира намекунанд ва формати стандартии WEB - HTML -ро истифода мебаранд, аммо онҳо то ҳол коркарди файлҳоро дар ин формат дастгирӣ мекунанд ва инчунин метавонанд онро барои нигоҳдорӣ бо танзимоти мувофиқ ё истифодаи васеъшавӣ истифода баранд. .
Осебпазирии аз ҷониби Ҷон кашфшуда ба синфи осебпазирии XXE (XML eXternal Entity) тааллуқ дорад ва аз конфигуратсияи нодурусти коркарди коди XML дар Internet Explorer иборат аст. "Ин осебпазирӣ ба ҳамлагари дурдаст имкон медиҳад, ки ба файлҳои маҳаллии корбар дастрасӣ пайдо кунад ва масалан, маълумотро дар бораи версияи нармафзори дар система насбшуда истихроҷ кунад", мегӯяд Пейҷ. "Пас, дархост барои 'c:Python27NEWS.txt' версияи он барномаро бармегардонад (дар ин ҳолат тарҷумони Python)."
Азбаски дар Windows ҳама файлҳои MHT дар Internet Explorer ба таври нобаёнӣ кушода мешаванд, истифодаи ин осебпазирӣ кори ночиз аст, зеро корбар танҳо бояд файли хатарнокеро, ки тавассути почтаи электронӣ, шабакаҳои иҷтимоӣ ё паёмнависии фаврӣ гирифта шудааст, ду маротиба клик кунад.
"Одатан, ҳангоми сохтани як мисоли объекти ActiveX, ба монанди Microsoft.XMLHTTP, корбар дар Internet Explorer огоҳии амниятӣ мегирад, ки барои фаъол кардани мундариҷаи басташуда тасдиқ талаб мекунад", - шарҳ медиҳад муҳаққиқ. "Аммо, ҳангоми кушодани файли .mht қаблан омодашуда бо истифода аз барчаспҳои махсус тарҳрезишуда корбар дар бораи мундариҷаи эҳтимолан зараровар огоҳӣ намегирад."
Ба гуфтаи Пейҷ, ӯ осебпазириро дар версияи кунунии браузери Internet Explorer 11 бо тамоми навсозиҳои охирини амниятӣ дар Windows 7, Windows 10 ва Windows Server 2012 R2 бомуваффақият санҷидааст.
Шояд ягона хабари хуш дар ифшои оммавии ин осебпазирӣ ин аст, ки ҳиссаи як вақтҳо дар бозор бартарии Internet Explorer ҳоло ҳамагӣ 7,34% коҳиш ёфтааст, мегӯяд NetMarketShare. Аммо азбаски Windows Internet Explorer-ро ҳамчун барномаи пешфарз барои кушодани файлҳои MHT истифода мебарад, корбарон набояд ҳатман IE-ро ҳамчун браузери пешфарз таъин кунанд ва онҳо то он даме, ки IE дар системаҳои онҳо мавҷуд аст ва онҳо пардохт намекунанд, осебпазиранд. Диққат ба файлҳои формати зеркашӣ дар Интернет.
Ҳанӯз 27 март Ҷон Microsoft-ро дар бораи ин осебпазирӣ дар браузери худ огоҳ карда буд, аммо 10 апрел муҳаққиқ аз ширкат посух гирифт ва дар он нишон дод, ки ин мушкилотро муҳим намешуморад.
"Ислоҳ танҳо бо версияи навбатии маҳсулот бароварда мешавад" гуфт Microsoft дар нома. "Мо ҳоло нақша надорем, ки ҳалли ин масъаларо нашр кунем."
Пас аз посухи дақиқ аз Microsoft, муҳаққиқ дар вебсайти худ ҷузъиёти осебпазирии сифрӣ, инчунин рамзи намоишӣ ва видеоро дар YouTube нашр кард.
Ҳарчанд татбиқи ин осебпазирӣ он қадар содда нест ва ба гунае маҷбур кардани корбарро барои иҷро кардани файли номаълуми MHT талаб мекунад, ин осебпазириро сарфи назар аз набудани посухи Microsoft набояд сабукдӯш кард. Гурӯҳҳои ҳакерӣ дар гузашта файлҳои MHT-ро барои фишинг ва паҳнкунии нармафзори зараровар истифода мекарданд ва ҳоло ҳеҷ чиз онҳоро аз ин кор бозмедорад.
Аммо, барои пешгирӣ кардани ин ва бисёр осебпазириҳои шабеҳ, шумо танҳо бояд ба васеъшавии файлҳое, ки аз Интернет гирифтаед, диққат диҳед ва онҳоро бо антивирус ё дар вебсайти VirusTotal тафтиш кунед. Ва барои амнияти иловагӣ, танҳо браузери дӯстдоштаи худро ғайр аз Internet Explorer ҳамчун барномаи пешфарз барои файлҳои .mht ё .mhtml таъин кунед. Масалан, дар Windows 10 ин ба осонӣ дар менюи "Интихоби барномаҳои стандартӣ барои намудҳои файл" анҷом дода мешавад.
Манбаъ: 3dnews.ru