עדכוני אבטחה חשובים

מיקרוסופט הפיצה עדכוני אבטחה נגד כשלי אבטחה בדפדפן אינטרנט אקספלורר ובמערכת ההפעלה Windows XP, שעשויים לאפשר לגולשים זדוניים לקרוא קבצים במחשבים אישיים מרוחקים.
כשלי האבטחה נתגלו בגירסה 5.01 ואילך של הדפדפן אינטרנט אקספלורר ובגירסה 2.6 ואילך של Microsoft's XML Core Services, רכיב שמשולב גם במערכת ההפעלה Windows XP. מיקרוסופט מגדירה את שני עדכוני האבטחה הללו "חשובים", וממליצה למשתמשים להתקינם מיד.

הכשל באינטרנט אקספלורר

הכשל שנתגלה באינטרנט אקספלורר עשוי לאפשר לגולש זדוני לקרוא מידע מהדיסק הקשיח של משתמש תמים באמצעות דף אינטרנט או הודעת דואר אלקטרוני שכוללת קישור לדף.
כאשר המשתמש התמים מנסה לצפות בדף, יכול הגולש הזדוני לגשת לקבצים בדיסק הקשיח של המשתמש, שניתנים לקריאה על ידי דפדפן, כמו מסמכי טקסט או דפי HTML. על התוקף לדעת את הנתיב המדויק המוביל לקבצים, כדי לקרוא אותם.
נוסף על כך, הבאג עשוי לאפשר לגולש זדוני לקרוא מידע מתוך דפי האינטרנט בהם ביקר הגולש המותקף לפני כן, כמו מספרי כרטיס אשראי או סיסמאות שהקליד המשתמש בדפים קודמים.
הבאג הוא תוצאה של כשל במדיניות האבטחה של אינטרנט אקספלורר עבור VBScripts, רכיבי קוד, כאשר הם ממוקמים במסגרת אחת של אתר אינטרנט (frame) ומנסים לקרוא מידע ממסגרת נוספת, שמקורה בשרת אינטרנט אחר. הדפדפן לא אמור להתיר לסקריפטים לבצע פעולה מסוג זה. הבאג חל בגירסאות 5.01, 5.5 ו-6 של אינטרנט אקספלורר. אפשר להוריד את העדכון בקישור הבא (מיועד גם עבור מערכות הפעלה בעברית).

הכשל ב XML Core Services

גירסה 2.6 ואילך של XML Core Services, שמשולבת באינטרנט אקספלורר 6, SQL Server 2000 וכל המהדורות באנגלית של מערכת ההפעלה החדשה Windows XP, אף היא כוללת באג שמאפשר לגולש זדוני לקרוא מידע ממחשבים אישיים מרוחקים.
מקור הבאג בפקד ActiveX בשם XMLHTTP, שמאפשר לדפי אינטרנט שמוצגים בדפדפן לשלוח ולקבל נתונים ב-XML דרך HTTP, הפרוטוקול שמאפשר דפדוף באתרי אינטרנט. XML זו שפת אינטרנט שמשמשת לתיאור כל סוג מידע באתרי אינטרנט.
גולש זדוני עשוי להקים דף אינטרנט ולהסוות בו את XMLHTTP. אם ישכנע את המשתמש לבקר בדף זה (הוא אינו יכול לבצע זאת דרך הודעת HTML בדואר אלקטרוני), יוכל לקרוא קבצים בדיסק הקשיח שלו. גם במקרה זה, התוקף חייב לדעת מראש את הנתיב המלא לקובץ שבו הוא מעוניין לצפות בדיסק הקשיח של המשתמש. אפשר להוריד את העדכון כאן.
מיקרוסופט מפיצה את עדכוני האבטחה בעוד החברה מנסה לקדם את אסטרטגיית הדוט נט שלה, שעיקרה מעבר משיווק תוכנות ארוזות עבור מחשבים אישיים לאספקת שירותים מקוונים באינטרנט. מומחי אבטחת מידע מטילים ספק בהצלחת החזון של מיקרוסופט וביכולתה לספק למשתמשים שירותים מאובטחים, שיפעלו במשך 24 שעות ביממה. כדי להגביר את אמון המשתמשים במוצריה, מיקרוסופט הכריזה לאחרונה על מדיניות "המיחשוב האמין", שמטרתה להפוך את תוכנות החברה ליותר מאובטחות.