به ندرت پيش ميآيد كه ايراد امنيتي جديدي كشف شود كه بطور همزمان، كاربران Internet Explorer و Mozilla Firefox را مورد تهديد قرار دهد، اما اين اتفاق بالاخره رخ داده است.
اخيراً گزارشاتي در مورد يك نقص امنيتي كه در هر دو نرم افزار مرورگر وب گزارش شده كه ميتواند منجر به افشاي ناخواسته اطلاعاتي شود كه كاربران اينترنت را به خطر بيندازد.
محقق امور امنيتي، پلبو اسدي نائل، اولين بار از وجود دو نقص امنيتي در مرورگرها در يك سايت امنيتي عمومي خبر داد. فقط يكي از اين نقص ها در هر دو نرم افزار مرورگر مشترك است.
شركت امنيتي Secunia به اين نقائص رتبه "كمتر بحراني" را داده است، اما مركز بحرانهاي اينترنتي SANS به اين نكته اشاره كرده كه اين نقصها موجب بروز نگرانيهاي جدي براي آنها شده است.
اولين نقيصه مربوط به برنامه هاي كاربردي HTML موسوم به HTA ها است كه بنا به اظهارات شركت مايكروسافت، برنامه هاي كاملي هستند كه كنترل كاملي بر روي سيستم دارند و از نظر كارآيي تفاوت چنداني با برنامه هاي عادي تحت ويندوز ندارند.
نقص امنيتي مورد بحث، در صورتي كه كاربر بر روي يك icon در برنامه كليك كند، با استفاده از يك نقطه ضعف امنيتي در برنامه Internet Explorer، اطلاعات محرمانه كاربر را بر روي اينترنت افشا نمايد.
دومين نقص امنيتي مربوط به سوء استفاده از ويژگي object.documentElement.outerHTML در برنامههايي است كه به زبان JavaScript نوشته ميشوند.
بر اساس گزارش مركز بحرانهاي اينترنتي SANS، "سوء استفاده از اين ويژگي به هكرها اين امكان را ميدهد تا از راه دور به اطلاعات محرمانه كاربراني كه يك صفحه خاص در اينترنت را مشاهده، ميكنند دست پيدا كنند."
يعني يك فرد مهاجم ميتواند نامهاي كاربري و كلمات عبوري را كه كاربران در سايتهاي ديگر وارد كردهاند بدست آورده و با استفاده از آنها به صورت غير مجاز در اين سايتها وارد شود.
با وجودي كه گزارش اوليه پلبو اسدي نائل، فقط اشاره به در خطر بودن Internet Explorer دارد، اما تحقيقات و بررسيهاي مستقل نشان ميدهد كه مرورگر اينترنتي Firefox نيز از طريق ويژگي object.documentElement.outerHTML در معرض خطر قرار دارد.
آدريان استون از مركز پاسخگويي امنيتي مايكروسافت، موسوم به MSRC، در وبلاگ مربوط به اين مركز اعلام كرده است كه مايكروسافت از وجود اين نقيصه اطلاع دارد و درحال بررسي بر روي آن است. همچنين هيچ موردي از يك تهاجم اينترنتي با استفاده از اين نقيصه، به اين مركز گزارش نشده است.
قرار است كه در تاريخ 25 جولاي، نسخه جديد مرورگر Firefox 1.5.0.5 منتشر شود، اما هنوز مشخص نيست كه آيا اين نقيصه در آن برطرف خواهد شد.
