Szerző: Budai Péter

2004. november 3. 10:03

A Microsoft szerint nem jelent veszélyt az Internet Explorer legújabb sebezhetősége

[News.com/HWSW] A Microsoft visszautasítja a biztonsági elemzők azon állításait, miszerint az Internet Explorerben nemrég felfedezett, megtévesztésre alkalmas módszer biztonsági kockázatot jelentene.

[News.com/HWSW] A Microsoft visszautasítja a biztonsági elemzők azon állításait, miszerint az Internet Explorerben nemrég felfedezett, megtévesztésre alkalmas módszer biztonsági kockázatot jelentene. A szoftveróriás ugyanakkor elismerte, hogy a megtévesztés Internet Explorer 6 alatt valóban lehetséges.

Hova is mutat a link?

A megtévesztés (spoofing) olyan módszer, amivel a felhasználók azt hihetik, hogy az általuk kiválasztott oldalt látják, ám valójában egy áloldalt böngésznek. Ennek jelentős veszélyei lehetnek, hiszen az ismerős tartalom és kinézet gyanútlanná teszi az embereket, és -- mint az eredeti oldalon is tennék -- megadják jelszavukat, vagy más személyes adataikat, például a bankkártyaszámukat.

"A Microsoft tud arról a múlt heti biztonsági problémáról, ami az Internet Explorer státuszsorában található URL megváltoztatására alkalmas. A felhasználók a státuszsorban látnak egy URL-t, ami az egérkurzor alatti link által hivatkozott címmel lenne azonos, azonban a tényleges kattintás után a felhasználó egy másik URL-re kerül tovább. Vizsgálataink szerint ez nem minősül biztonsági kockázatnak" -- közölte a vállalat e-mail nyilatkozatában.

A figyelmeztetést egy német kutató, Benjamin Tobias Franz tette közzé a Bugtraq listán, a múlt héten. Állítása szerint az Internet Explorer becsapható, ha egy HTML href tag (egy adott hivatkozás célpontját meghatározó HTML részlet) tartalmaz egy táblázatot, és azon belül két linket. Kiemelte, hogy az így manipulált URL-ek a felhasználókat olyan holnapokra juttathatják el, amelyekről tudomásuk sincs.

Nem könnyű átverni a felhasználókat

A Microsoft ugyanakkor úgy véli, hogy nem túl egyszerű átverni a felhasználókat ezzel a megoldással. A rossz akaratú weboldal készítőjének először is rá kell vennie a felhasználót, hogy látogassa meg az ő oldalát és az itt elhelyezett hibás link lenne alkalmas a sebezhetőség kihasználására. De ha valaki rá is kattint a megtévesztő linkre, még mindig ott a kérdés, hogy hogyan lehet a megjelenő oldalon bekérni a felhasználó személyes adatait, vagy más értékes információt, különösen, hogy ilyenkor a címsorban már a valódi URL látható.

A vállalat azt javasolja, hogy mindig ellenőrizzük a címsort, hogy valóban oda érkeztünk-e, ahova szerettünk volna. Ez különösen olyankor fontos, ha a kérdéses oldalra adatokat viszünk fel. Franz és a Microsoft is alátámasztotta, hogy a Windows XP SP2 nem érintett a probléma kapcsán.

A Bugtraq listára Franz azt is leírta, hogy a HTML e-mail üzenetek, ezáltal a Microsoft Outlook és az Outlook Express szoftverek is érintettek. A probléma kikerülésére javasolja a linkek jobb egérgombbal történő vizsgálatát, hogy kiderüljön, hová is mutatnak valójában.

Mégis lesznek frissítések a korábbi operációs rendszerekhez?

A Microsoft most úgy tűnik, hogy újragondolja azt a korábban nagy vitát kavaró bejelentését, miszerint nem teszi lehetővé a biztonságosabb Internet Explorer használatát a Windows XP SP2 előtti operációs rendszereken. A jelenlegi eset kapcsán a vállalat ugyanis kiemelte, hogy keresi és vizsgálja annak a lehetőségét, hogy a Windows korábbi verzióihoz is folyamatosan elérhetőek legyenek az ehhez hasonló hibajavítások.

A probléma az alternatív böngészőket -- például a Firefox-ot -- nem érinti.

Május 18-19-én biztonságos szoftverfejlesztés és Scrum újdonságaira fókuszáló meetupokat rendezünk, 2 nap alatt összesen 10 klassz előadással.

a címlapról