בעיות אבטחה בדפדפנים עם טאבים

לא רק דפדפן אינטרנט אקספלורר של מיקרוסופט עשוי להוות סכנה לגולשים, אלא גם דפדפנים המיועדים ללינוקס, מקינטוש או דפדפני קוד פתוח חלופיים עלולים לשמש כלי בידי האקרים.

חברת האבטחה Secunia מתריעה בפני הגולשים על שני סיכוני אבטחה, שפוגעים בכל הדפדפנים המציעים תמיכה בגלישה באמצעות לשוניות (Tab), ביניהם דפדפנים מבוססי מוזילה, אופרה, Konqueror, ספארי ותוספי גלישה לאינטרנט אקספלורר של מיקרוסופט, כגון Avant או Maxthon.

על פי ZDNet, דפדפן Konqueror המיועד ללינוקס כבר פירסם בתחילת השבוע גירסה מעודכנת, ובה עדכון לפירצה, ואילו קבוצת מוזילה הודיעה כי הפירצה תטופל בגירסה 1.0 של פיירפוקס, שתצא בתוך כשבועיים.

כשלי אבטחה גם באקספלורר

בתוך כך, מיקרוסופט אישרה השבוע כי קיימים שני כשלי אבטחה באינטרנט אקספלורר 6, הנוגעים לכל גרסאות Windows, כולל Windows XP עם SP2. מדובר בכשלי אבטחה ותיקים במנגנון ה"גרור והדבק", המוגדרים כקריטיים על ידי חברת Secunia. מיקרוסופט הפיצה עדכון אבטחה לכשלים אלה אך על פי הדיווחים, הפרצות עדיין קיימות.

אחד מכשלים אלה עשוי לאפשר לבעל אתר לגרום לגולש להוריד קובץ זדוני בתיקיית ההתחלה של משתמש, ולגרום להפעלתו עם ההפעלה מחדש של המחשב. זאת, עקב חולשה במנגנן האימות המפריד בין אירועים באיזור האבטחה של האינטרנט לאיזור המחשב המקומי, המתירני יותר מבחינת אבטחה.

כתוצאה מכך, ניתן להטמין קבצים או תמונות בתוך קוד HTML ולגרום לגולש להורידו למחשב תוך עקיפת מנגנוני האבטחה. כשל נוסף עלול לגרום לפקד HTML להפעיל קבצים זדוניים במחשב. שני הכשלים האלה עשויים לסייע למשתמשים מרוחקים להשתלט על המחשב. מחשבים בהם רמת אבטחת האינטרנט מוגדרת כגבוהה אינם חשופים לסכנה.

כאשר מדובר במחשבים אחרים, על המשתמש הזדוני לפתות תחילה את הגולש לבקר באתר מסוים ולאחר מכן לשכנע אותו לבצע סדרה של פעולות באתר, ורק לאחר ההפעלה המחודשת של המחשב עשוי התוקף להשתלט על המחשב, הבהיר דובר מיקרוסופט. החברה עדיין לא הוציאה עדכון לכשלי האבטחה ומסרה כי היא עשויה לעשות כן באחד מעדכוני האבטחה החודשיים הבאים. Secunia ממליצה למשתמשים לבטל את תכונת ה-Active Scripting של אינטרנט אקספלורר או להשתמש בדפדפן חלופי.