cyber flash دو آسيب پذيري در اينترنت اكسپلورر مايكروسافت كشف كرد كه هكرها مي توانند از گذرگاه جانبي در امنيت ويندوز XP SP2 رخنه كرده و كاربران را در دانلود فايلهاي مخرب فريب دهند XP SP2 یک طرح امنيتي دارد كه به كاربران هنگام باز كردن فايلهاي دانلود شده در همه بخشها هشدار مي دهد, و اما مشكل حفره جدید اين است كه فايلهاي دانلود شده با حيله خاص "Content-Location " در عنوان سرصفحه HTTP فرستاده شده و وقتي كه كاربر فايل را باز مي كند به او هشدار داده نمي شود.
پيام خطايي ( error) هنگامي كه برخي اسناد از تابع جاوا اسكريپت " (execCommand )", استفاده مي كنند داده مي شود كه مي تواند به spoof ها در فايل توسعه داده شده "Save HTML Do*****ent" کمک نماید و البته در صورتي , بهره برداري موفقيت آميز خواهد بود كه گزينه "Hide extension for known file type " فعال باشد.تركيب دو آسيب پذيري گفته شده در بالا مي تواند سايتها و افراد مخرب را قادر سازد تا كاربران را در دانلود فايلهاي قابل اجرای مخرب آنهم در لباس اسناد HTML فريب دهند.آسيب پذيري در تمام سيستمهاي patch شده با Internet Explorer 6.0 و ويندوز XP SP2 مايكروسافت محرز مي باشد.
راه حل براي مقابله با اين مشكل اينست كه كاربران فعاليت Active Scripting support و گزينه "Hide extension for known file types" را Disable كنند.
منبع : ستاره سرخ setarehsorkh.com
