Ni ọjọ Jimọ, Oṣu Kẹrin Ọjọ 12, alamọja aabo alaye John Page ṣe atẹjade alaye nipa ailagbara ti ko ṣe atunṣe ni ẹya lọwọlọwọ ti Internet Explorer, ati tun ṣe afihan imuse rẹ. Ailagbara yii le gba laaye ikọlu lati gba awọn akoonu ti awọn faili agbegbe ti awọn olumulo Windows, titọ aabo aṣawakiri.
Ailagbara naa wa ni ọna ti Internet Explorer n ṣakoso awọn faili MHTML, paapaa awọn ti o ni itẹsiwaju .mht tabi .mhtml. Ọna kika yii jẹ lilo nipasẹ Internet Explorer nipasẹ aiyipada fun fifipamọ awọn oju-iwe wẹẹbu, ati gba ọ laaye lati fipamọ gbogbo akoonu oju-iwe naa pẹlu gbogbo akoonu media bi faili kan. Ni akoko yii, ọpọlọpọ awọn aṣawakiri ode oni ko tun fi awọn oju-iwe wẹẹbu pamọ ni ọna kika MHT ati lo ọna kika WEB boṣewa - HTML, ṣugbọn wọn tun ṣe atilẹyin awọn faili ṣiṣe ni ọna kika yii, ati pe o tun le lo fun fifipamọ pẹlu awọn eto ti o yẹ tabi lilo awọn amugbooro.
Ailagbara ti a ṣe awari nipasẹ John jẹ ti kilasi XXE (XML eXternal Entity) ti awọn ailagbara ati ni iṣeto ti ko tọ ti oluṣakoso koodu XML ni Internet Explorer. “Ailagbara yii ngbanilaaye ikọlu latọna jijin lati ni iraye si awọn faili agbegbe olumulo kan ati, fun apẹẹrẹ, jade alaye nipa ẹya ti sọfitiwia ti a fi sori ẹrọ,” ni Oju-iwe sọ. "Nitorina ibeere kan fun 'c: Python27NEWS.txt' yoo da ẹya ti eto naa pada (olutumọ Python ninu ọran yii)."
Niwọn bi ni Windows gbogbo awọn faili MHT ṣii ni Internet Explorer nipasẹ aiyipada, ilokulo ailagbara yii jẹ iṣẹ-ṣiṣe ti ko niye nitori olumulo nikan nilo lati tẹ lẹẹmeji lori faili ti o lewu ti o gba nipasẹ imeeli, awọn nẹtiwọọki awujọ tabi awọn ojiṣẹ lẹsẹkẹsẹ.
"Ni igbagbogbo, nigbati o ba ṣẹda apẹẹrẹ ti ohun ActiveX kan, gẹgẹbi Microsoft.XMLHTTP, olumulo yoo gba ikilọ aabo ni Internet Explorer ti yoo beere fun idaniloju lati mu akoonu ti dina mu ṣiṣẹ," oluwadi naa salaye. "Sibẹsibẹ, nigbati o ba ṣii faili .mht ti a ti pese tẹlẹ nipa lilo awọn ami isamisi aṣa aṣa pataki olumulo naa kii yoo gba awọn ikilọ nipa akoonu ipalara.”
Gẹgẹbi Oju-iwe, o ṣe idanwo ailagbara ni aṣeyọri ninu ẹya lọwọlọwọ ti aṣawakiri Internet Explorer 11 pẹlu gbogbo awọn imudojuiwọn aabo tuntun lori Windows 7, Windows 10 ati Windows Server 2012 R2.
Boya ihinrere ti o dara nikan ni ifihan gbangba ti ailagbara yii ni otitọ pe Internet Explorer ti iṣakoso ọja nigbakan ti lọ silẹ si 7,34% lasan, ni ibamu si NetMarketShare. Ṣugbọn niwọn igba ti Windows ti nlo Internet Explorer bi ohun elo aiyipada lati ṣii awọn faili MHT, awọn olumulo ko ni dandan lati ṣeto IE bi aṣawakiri aiyipada wọn, ati pe wọn tun jẹ ipalara niwọn igba ti IE tun wa lori awọn eto wọn ati pe wọn ko sanwo. ifojusi si awọn faili ọna kika igbasilẹ lori Intanẹẹti.
Pada ni Oṣu Kẹta Ọjọ 27, John sọ fun Microsoft nipa ailagbara yii ninu ẹrọ aṣawakiri wọn, ṣugbọn ni Oṣu Kẹrin Ọjọ 10, oniwadi naa gba esi lati ile-iṣẹ naa, nibiti o ti fihan pe ko ro pe iṣoro yii jẹ pataki.
“Atunṣe naa yoo jẹ idasilẹ nikan pẹlu ẹya atẹle ti ọja,” Microsoft sọ ninu lẹta naa. "Lọwọlọwọ a ko ni awọn ero lati tusilẹ ojutu kan fun ọran yii.”
Lẹhin idahun ti o han gbangba lati ọdọ Microsoft, oluwadii ṣe atẹjade awọn alaye ti ailagbara ọjọ-odo lori oju opo wẹẹbu rẹ, bakanna bi koodu demo ati fidio kan lori YouTube.
Botilẹjẹpe imuse ailagbara yii kii ṣe rọrun ati pe o nilo bakan fipa mu olumulo lati ṣiṣẹ faili MHT ti a ko mọ, ailagbara yii ko yẹ ki o gba ni irọrun laibikita aini esi lati Microsoft. Awọn ẹgbẹ agbonaeburuwole ti lo awọn faili MHT fun aṣiri-ararẹ ati pinpin malware ni igba atijọ, ati pe ko si ohun ti yoo da wọn duro lati ṣe bẹ ni bayi.
Sibẹsibẹ, lati yago fun eyi ati ọpọlọpọ awọn ailagbara ti o jọra, o kan nilo lati fiyesi si itẹsiwaju ti awọn faili ti o gba lati Intanẹẹti ati ṣayẹwo wọn pẹlu ọlọjẹ tabi lori oju opo wẹẹbu VirusTotal. Ati fun aabo ti a ṣafikun, nìkan ṣeto ẹrọ aṣawakiri ayanfẹ rẹ yatọ si Internet Explorer bi ohun elo aiyipada fun awọn faili .mht tabi .mhtml. Fun apẹẹrẹ, ni Windows 10 eyi ni a ṣe ni irọrun ni “Yan awọn ohun elo boṣewa fun awọn oriṣi faili” akojọ aṣayan.
orisun: 3dnews.ru