פרשן - פרצה סודית ביותר

מס' צפיות - 543

דירוג ממוצע -

פרצה סודית ביותר

מאת: יאיר מור 28/09/08 (02:21)

מזמן לא דיווחתי לכם על סכנות מיידיות ברשת. הסיבה העיקרית הייתה שלא היה הרבה חדש בתחום. אחרי הכל, וירוס שמתחזה במייל לסרטון כחול בכיכובו של ברק אובמה אינו שונה במהותו מוירוס המתחזה במייל (או במסרון בפייסבוק) לפרסומת לגלולות נגד האנג-אובר או לסרטון של עצמכם במצלמה נסתרת.

אתמול, בכל אופן, יצאה לאוויר העולם הודעה אודות איום חדש שהתגלה בדפדפנים שלנו, ומהווה סכנה של ממש לכל הגולשים באשר הם. הפרצה התגלתה ע"י רוברט האנסן וג`רמיה גרוסמן, שני האקרים "טובים", המאתרים סיכונים באינטרנט ועוזרים לחברות הרלוונטיות לפתור אותם. בתחילת ספטמבר הם גילו כי האקרים יכולים לשתול באתרים שבשליטתם קוד DHTML (שפת תכנות לדפי אינטרנט), שביכולתו "לגרום" לגולשים להקליק על קישור זדוני מבלי אפילו לראות אותו. עד עכשיו האמונה הרווחת הייתה כי לא ניתן לבצע תכסיס כזה ללא ג`אווה סקריפטים או קבצי פלאש בעמוד, אך שני מומחי-האבטחה גילו שניתן לבצע זאת בעזרת קוד הבסיס של כל דף אינטרנט. לאחר שנכנסתם לאתר ה"נגוע", הוא יכול פשוט להחליט בשבילכם על מה להקליק ומה לעשות. אפילו כיבוי מוחלט של יכולות הג`אווה בדפדפן לא מסוגל למנוע זאת, מאחר וכאן אופן פעולת הבסיס של הדפדפן היא הבעיה. ולפני שחברי פורום "לינוקס" הישראלי מעלים את השאלה - כן, הפעם מדובר בפרצה המשפיעה על הדפדפנים בכל מערכות ההפעלה הקיימות, כולל MAC OS-X ואובונטו.

שני המומחים תכננו להציג את הנושא בכנס אבטחה בשם OWASP בניו-יורק, אך לאחר שהעבירו הודעה מוקדמת למייקרוסופט, מוזילה ואדובי, וקיבלו תשובות מבוהלות עד מוות, הבינו השניים כי יהיה זה בלתי-אחראי מצידם לחשוף פרטים כלשהם על הפרצה, וביטלו (מרצונם) את ההרצאה. מאז כל הפרטים שטרם נחשפו נשמרים בסוד כמוס בין שני חוקרי הפרצות למומחי האבטחה בחברות הרלוונטיות, עד למציאת פתרון לגודל הפרצה (סגירה מוחלטת שלה הוגדרה ע"י גרוסמן בבלוג כ"בלתי אפשרית").

הידיעה פורסמה אתמול בבלוג האבטה ZeroDay של רשת ZiffDavis, ולאחר מספר שעות כבר פורסם אישור כי משתמשי פיירפוקס יכולים לסתום את הבעיה כבר עכשיו, בעזרת התוסף NoScript. ג`ורג`ו מאונה, יוצר התוסף, פנה לגורמים מוסמכים בתעשיית האבטחה, קיבל מהם מידע על הפירצה, ומסר שבשימוש בתוכנה שלו, בהפעלת האפשרות "Plugins|Forbid", מתקבלת הגנה מוחלטת. תגובה של ג`רמיה גרוסמן בבלוג של האנסן גם היא מאשרת ש"נו-סקריפט" מסוגל למנוע את המתקפה המסוכנת. בינתיים, כל מי שלא משתמש בכלי הזה יצטרך לשבת ולשקשק מחשש שההאקרים יצליחו לגלות את הפרטים הטכניים הנחוצים לניצול הפרצה לפני שהחברות יספיקו לאטום אותה.

לבלוג של יאיר מור

רוצים לפרסם את דעותכם ב"פרשן"? גם אתם יכולים! לחצו כאן

גולשים יקרים, הכותבים באתר משקיעים מזמנם בשבילכם, בואו ניתן להם תגובה! כתבו למטה (בנימוס) את דעתכם.

תגובות

לכתבה זו התקבלה תגובה אחת

לקריאת כל התגובות ברצף

1.	טעות קטנה ל"ת לכל מי שמחפש את אופציית החסימה ב"נו-סקריפט" - האופציה נקראת "Plugins\|Forbid iFrame". תפוז - שבו פורסם המאמר במקור - חוסם את הקוד הזה מהופעה בבלוגים. איתכם הסליחה. יאיר מור 01.10.08 (19:50)