امنیت مرورگرهای اینترنت

[mr.linux 7]

ناتوانی مایکروسافت در رفع نقص امنیتی اینترنت اکسپلورر برای مدت 455 روز

اکنون 453 روز از گزارش نقص امنیتی با عنوان Popup Address Bar Spoofing در مرورگر Internet Explorer 7.0 می گذرد و هنوز کمپانی مایکروسافت هیچگونه اصلاحیه ای برای آن منتشر نساخته است.

گرچه این آسیب پذیری از درجه خطر پایین "کمتر از بحرانی" یا سطح 2 به گفته سایت Secunia برخودار است اما خواسته کاربران و شرکت های تجاری برای رفع این آسیب پذیری هنوز برآورده نشده است.

نقص امنیتی ذکر شده می تواند ابزار کمکی افراد مخرب حیله گر قرار گیرد تا حملاتی از نوع "فیشینگ" ترتیب دهند. اشکال در IE 7.0 هنگامی رخ می دهد که مرورگر قادر است صفحه مستقل وب (Popup) را باز کند که آدرس آن تقلبی است به این معنا که چندین کاراکتر خاص می توانند نماینگر آدرسی جعلی باشند.

این اشکال باعث می شود که کاربران فریب "میله آدرس" را بخورند و صفحه جعلی به همراه آدرس جعلی را قابل اعتماد بدانند. سپس فرد مهاجم می تواند با استفاده از این شیوه کدهای مخرب و بارگیری های مخرب را بر روی سیستم قربانی اجرا کند.

وب سایت شرکت امنیتی Secunia این آسیب پذیری را اصلاح نشده می داند و بخش دموی نمایشی چگونگی رفتار این آسیب پذیری را در دسترس عموم قرار داده است. کاربران علاقهمند به شناخت این آسیب پذیری می توانند از لینک مربوطه وارد بخش آزمایش اشکال امنیتی شده و با زدن ضربه کلیک بر روی"Test Now" در قسمت Start the Test، نحوه عملکرد اشکال امنیتی را مطالعه کنند.

اگر که شما کاربر مرورگر وب اینترنت اکسپلورر نسخه 7.0 هستید و بدلیل وبگردی بسیار از به دام افتادن در این نقص امنیتی ترس دارید، می بایست وبگردی و کلیک بر روی پیوندهای نا مطمئن را کنترل کنید و یا برای اطلاعات پیشرفته تر از راهنماهای امنیتی انتشار یافته استفاده کنید تا هنگامیکه که مایکروسافت فایل اصلاحیه مربوطه را روانه بازار کند.

و طبق انتشار گزارش امنیتی سالیانه Secunia پیرامون امنیت مرورگرهای وب که شامل آسیب پذیری های مرورگرهای مختلف، نقص های امنیتی اجزای افزودنی مختلف مرورگرها، آسیب پذیری ActiveX، منابع اعتبار کشف آسیب پذیری، میزان ریسک خطرات و انواع آنها در سال2007 می باشد در جدول رتبه بندی مرورگرهای وب بر مبنای تعداد آسیب پذیری های کشف شده در سال 2007، ابتدا مرورگر وب فایرفاکس به همراه 64 نقص امنیتی سپس مرورگر اینترنت اکسپلورر با 43 آسیب پذیری و مرورگرهای اپرا و سفری هر دو با 14 آسیب پذیری قرار می گیرند.

در زمان تهیه گزارش مرورگر فایرفاکس از 8 عدد آسیب پذیری گزارش شده، 3 نقص امنیتی اصلاح نشده دارد که به همین ترتیب مرورگر Internet Explorer از 10 آسیب پذیری گزارش شده، 7 عدد نقص اصلاح نشده داشته است.

آمار همچنین گویای میانگین مدت زمان انتشار یک اصلاحیه از هنگام کشف آسیب پذیری می باشد. مرورگر Firefox با میانگین صرف 88 روز برای رفع آسیب پذیری ها برتر از مرورگر اینترنت اکسپلورر محاسبه شده است در وضعیتی که مرورگر IE بطور متوسط 173 روز برای انتشار اصلاحیه یک آسیب پذیری زمان صرف کرده است.

وبلاگ Mozilla Links با محاسبه میزان خطر هر آسیب پذیری به نسبت مدت زمان تهدید خطر کاربران، جدولی با عنوان امتیاز ریسک رسم کرده است که به واضحگی گویای امنیت پایین در استفاده از مرورگر اینترنت اکسپلورر می باشد.

قابل ذکر است که آسیب پذیری های مرتبط با ActiveX (در مرورگر IE) و یا Widget (در مرورگر اپرا) و حتی Extensionها (در مرورگر فایرفاکس) هر کدام جداگانه مورد تحلیل و رده بندی قرار گرفته اند.