משתמשי אקספלורר 8 לא היו חשופים לפרצת אבטחה בטוויטר שתוקנה בסוף השבוע

פרצת אבטחה מסוג Cross-Site Scripting (XSS) תוקנה בסוף השבוע האחרון בתשתית Ruby On Rails שמשתמש לפיתוח אפליקציות Web פופולריות, ביניהם Twitter. משתמשי Internet Explorer 8 יכולים להיות רגועים, הודות למנגנוני האבטחה ששולבו בגירסא האחרונה.

מקור: alpha du centaure photostream

מקור: alpha du centaure photostream

פרצת אבטחה מסוג Cross-Site Scripting (XSS) תוקנה בסוף השבוע האחרון בתשתית Ruby On Rails שמשתמש לפיתוח אפליקציות Web פופולריות, ביניהם Twitter, כך מדווח אתר Ars technica. משתמשי Internet Explorer 8 יכולים להיות רגועים, הודות למנגנוני האבטחה ששולבו בגירסא האחרונה.

ברייאן מסטנברוק, חוקר אבטחת מידע, חשף את הבאג בתשתית במהלך בדיקה מקרית שביצע בשירות Twitter כדי לבדוק את האופן שבו מקודדות מחרוזות בייצוג Unicode. מסטנברו, כפי שתעד בבלוג שלו, הצליח לעקוף את שיטת הקידוד, ולהזריק קוד JavaScript זדוני שהורץ על ידי הדפדפן. למזלנו, מסטנברוק הזריק קוד לבדיקת הפרצה בלבד ולא על מנת להזיק למשתמשים. אולם, אם גורם עוין היה עושה זאת לפניו וקוד זדוני באמת– הרי שכל משתמשי הרשת החברתית היו חשופים לנזק.

אחרי שגיליתי את הבאג בדרך שבה מטפלת האפליקציה במחרוזות מקודדות, החלטתי לבדוק האם יש אפליקציות פופולריות באינטרנט שבהן הבאג יכול להוות פרצת אבטחה, כך כותב מסטנברוק. מיד חשבתי על טוויטר, אפליקציית ה- Web שיחידה שהייתה פתוחה לפני באותה עת. תוך כמה דקות כבר היה לי קטע קוד ב- JavaScript שעוקף את מנגנון הקידוד של המחרוזות ורץ בגוף האפליקצייה twitter.com. בינגו! בדיוק ככה נוצרו תולעות הטוויטר המפורסמות.

ברגע שהצליח לשחזר את הפרצה גם באפליקצייה Basecamp, הבין מסטנברוק כי הבעיה נעוצה בתשתית Ruby on Rails שמשתמשת לפיתוח שתי האפליקציות הנ"ל. הוא פנה לחברת 37Signals, המפתחת את התשתית וסיפק להם את המידע הנחוץ לפיתרון הבעיה. לפי Rails security bulletin, הפרצה קיימת בכל גירסאות Rails 2.0. בגירסאות 2.2.3 ו- 2.3.4 שולב התיקון לפרצה. בפוסט הנ"ל תיאר מסטנברוק את תהליך גילוי הפרצה והדרך שעשה ע"מ ליצור קשר עם מפתחי Twitter ו- 37Signals לתיקונה. כמו כן, הוא משבח את היכולת של Internet Explorer 8 לזהות ולחסום בזמן אמת פרצות מסוג Cross-Site Scripting, הודות ליכולות האבטחה המורחבות שהוצגו בגירסא החדשה, ומזמין מפתחי דפדפנים מתחרים לאמץ מנגנונים אלה.

גיא בורשטיין

מומחה טכנולוגיות פיתוח במיקרוסופט ישראל, אחראי על הקשר עם קהילת הפתחים בארץ ובימים אלו מוביל את פעילות פיתוח האפליקציות ל- Windows 8

הגב

2 Comments on "משתמשי אקספלורר 8 לא היו חשופים לפרצת אבטחה בטוויטר שתוקנה בסוף השבוע"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
משה
Guest

אבל בארץ האחוז של IE8 עומד על בערך 10%, לא יותר, וחבל.

גיא בורשטיין
Guest
גיא בורשטיין

לא מדוייק. מהנתונים שלנו במיקרוסופט, IE8 עולה בקצב מהיר ומאז השקתו במרץ האחרון מתקרב ל- 20% במהירות (כיום עומד עד 19.6)

wpDiscuz

תגיות לכתבה: