شماره: IRCNE200908323
محققان امنيتي در مايكروسافت راهي را براي شكستن سد امنيتي HTTPS، بدون شكستن الگوهاي رمزنگاري شده يافته اند.
در خلال يك پروژه تحقيقاتي كه اوايل امسال به پايان رسيده است، يك گروه تحقيقاتي مايكروسافت دسته اي از آسيب پذيري ها را كشف كردند كه قابليت سوءاستفاده از آن به وسيله يك پراكسي خرابكار وجود دارد كه ماژولهاي نمايش صفحه وب براي يك كاربر را كه در بالاي لايه HTTPS/HTTP قرار دارند، هدف قرار داده است.
اين گروه در مورد مشكل مذكور مي گويند:
" در بسياري از محيطهاي شبكه هاي حقيقي كه مهاجمان قادرند ترافيك شبكه را شنود كنند، مي توانند داده هاي حساس را از طريق يك سرور HTTPS سرقت كنند، يك صفحه HTTPS را جعل و خود را به جاي يك كاربر تأييد شده معرفي كرده و به سرور مذكور دسترسي پيدا كنند. اين آسيب پذيري ها منعكس كننده اهمال كاريها در طراحي مرورگرهاي مدرن است. اين آسيب پذيري ها تقريباً بر همه مرورگهاي معروف و تعداد زيادي از وب سايتها تأثير مي گذارند."
با توجه به يك راهنمايي امنيتي در SecurityFocus، اسكريپت ها و HTML هايي كه توسط مهاجم پشتيباني مي شوند، توانايي اجرا در مرورگرهاي تحت تأثير آسيب پذيري فوق را داشته و به مهاجم اجازه سرقت اطلاعات كنترل دسترسي در كوكي ها و كنترل چگونگي نمايش يك صفحه وب براي كاربر را مي دهند. همچنين احتمال حمله هاي ديگر نيز وجود دارد.
مرورگرهاي تحت تأثير عبارتند از: IE 8، Firefox، Chrome، Apple Safari و Opera.
- 2