يتعرض أي مستخدم لديه متصفح جوجل كروم مثبتًا على جهاز الحاسوب الخاص به لمشكلة تسمح للمهاجمين بزرع نصوص برمجية على المواقع وعندما يصل المستخدم إليها باستخدام متصفح إنترنت اكسبلورر، سيؤدي ذلك إلى فتح كروم وتصفح مواقع أخرى دون تدخل المستخدم وتشغيل برامج نصية إضافية.
 |
| انترنت اكسبلورر + جوجل كروم = مخاطر أمنية |
في وقت سابق من هذا الأسبوع ، نشرت مدونة إعلانات متصفح كروم حول مشكلة أمنية جديدة تتعلق بمعالجة بروتوكول كروم HTML. وفقًا للتقرير، فإن أي مستخدم لديه الإصدار 1.1.154.109 أو إصدار سابق من كروم مثبت على جهاز الحاسوب الخاص به يتعرض لمشكلة تسمح للمهاجمين بزرع نصوص على المواقع وعندما يصل المستخدم إليها باستخدام انترنت اكسبلورر، سيؤدي ذلك إلى فتح كروم، تصفح المواقع الأخرى دون تدخل المستخدم وتشغيل البرامج النصية المزيد. في أقل من 24 عامًا بعد نشر الثغرة الأمنية، أصدرت جوجل مزيدًا من المعلومات حول المشكلة والحلول الممكنة لها.
مكتشف المشكلة هو رجل من شركة آي بي إم يُدعى روي سالزمان، والذي أصدر مع نشر مستند حول الثغرة. يصف كيف يمكن استغلال الاختراق وما هي التأثيرات التي يمكن تحقيقها على المحطات الطرفية إذا كانت تعاني من المشكلة. من بين الأشياء التي يمكن أن تستغل هذه الثغرة الأمنية هي القدرة على تشغيل أي قصاصة من التعليمات البرمجية على الحاسوب البعيد والحصول على وصول كامل إلى الملفات الحساسة الموجودة على الحاسوب البعيد. وفقًا لسالزمان، فإن شكل معالجة برنامج انترنت اكسبلورر للبروتوكولات المختلفة التي توسع وتغير إمكانيات عنوان الرابط القياسية يرجع إلى كعب أخيل المعروف. هذا هو السبب في أن المهاجمين يستثمرون الكثير من الوقت في إيجاد ثغرات في التطبيقات الأخرى باستخدام منصة معالجات البروتوكول. من جانبها، تدعي مايكروسوفت أن هذه هي الطريقة القياسية للعمل وتسمح من ناحية أخرى باستخدام تطبيقات المتصفح أو ملحقات المستعرض دون "قُفْل" المستخدم لاستخدام تطبيقه فقط. نظرًا لأن الثغرات الأمنية ليست في مقتطفات التعليمات البرمجية لـ مايكروسوفت ويندرج شكل عمل انترنت اكسبلورر ضمن تعريفالمصمم، فإن مايكروسوفت تخلي مسؤوليتها عن معالجة المشكلة وتعيدها إلى مالكي برامج الجهات الخارجية المسؤولين عن تطبيقاتهم.
ليست هناك تعليقات: