מייקרוסופט מסננת הודעות מסנג'ר שכוללת מילים זדוניות כמו foo.scr או gallery.php.
למה?
הניחוש שלי הוא שכמה ווירוסים מפיצים את עצמם דרך המסנג'ר, ומפנים את משתמשי חלונות מלאי האמונה אל אתרים שמדביקים אותם בקדחת התחת.
במקום לשחרר גרסא מתוקנת של מסנג'ר ואולי גם של אקספלורר, מייקרוסופט בחרו לצנזר הודעות מסויימות, מתוך הבנה שכותבי הווירוסים מטומטמים ולא יחשבו לקודד את ההודעות שלהם, לשים redirect בשרת, או סתם להשתמש בכתובות אקראיות להפצת הווירוסים.
יש כל כך הרבה דרכים לעקוף את הפתרון הזה שזה פשוט עצוב לחשוב שמישהו במייקרוסופט חושב שזה פתרון.
דרך סלאשדוט.
Facebook Comments
בוא נגיד שזה עוד בסדר. אבל לחסום שם מתחם שלם?
נראה אותך מצליח להעביר הודעה עם כתובת תחת מתחם info. אין סיכוי שתצליח, ובעקבות מבנה הרשת גם תוכנות צד שלישי לא יצליחו לסייע מאחר וההודעות עצמן עוברות תמיד דרך השרת. בזה שאנחנו חוסמים שם מתחם, אנחנו חוסמים את כל האתרים הליגיטימיים שנמצאים בו, כך שאח"י דקר, למשל, לא תצליח לשלוח לאף־אחד את כתובת האתר שלה דרך מסנג'ר בזכות פיצ'ר האבטחה המצ'וכלל של מייקרוסופט.
תומר, אבל ברור שרק האקרים קונים שמות מתחם בדוט אינפו!
חנית וכל שאר בעלי מתחמי האינפו בארץ הם L33T H4XORs, כדבריך? (דווקא נשמע נחמד להתחיל לקרוא לה "חנית הזבלנית", אבל צריכים למצוא סיבה לשם כזה, כאשר עכשיו אפילו אקזימט לא חוסם אותה.)
חלילה.
חוץ מחנית.
לפחות הם לא חוסמים מתחמי .COM למרות שגםם אלו אמורים להיות חור אבטחה, לא?
למה שיחסמו מתחמי com? אייסיקיו עשו את זה לפניהם!
תומר, יש לי קובץ בשבילך, dir2.com
קונה?
האמת שהם חסמו גם דף פרופיל מסכן שלי באתר שמסתיים ב .net בכלל.
profile.php במילים אחרות :\
נשמע לי מוזר שקובץ HTML ספציפי יהווה סיכון אבטחה לאקספלורר, ועוד אחד בשם gallery.php ששייך באמת ל- gallery.sf.net שכנראה ברוב המוחלט של ההתקנות שלו אינו פוגע באקספלורר.
אני יודע שגוגל חוסמים מדי פעם כתובות כאלו (כמו למשל עמודי ה- PHP של PhpBB), כי אנשים או בוטים יכולים
להשתמש בגוגל כדי למצוא אתרים שמותקנת עליהם הגרסה הפגיעה הספציפית.
האם ייתכן שמיקרוסופט חוסמים URLים שפוגעים *בשרתים* שמריצים את המערכות, ובעצם מונעות לא פגיעה במחשב הלקוח אלא DDoS המוני?
לא לשכוח שמדובר פה במסות – אם הם אכן מנעו מהאחוזון הטיפש ביותר של המשתמשים שלהם (רק כמה מיליונים מיליונים) להפיץ תולעת, אולי זה רעיון טוב.
מה שכן, כנראה שהיו יכולים לזהות את ה- URL הזדוני המלא, ולא סתם gallery.php…
אבל כל רעיון ה- DDoS הוא רק ניחוש.
אורן, קרוב לוודאי שזה לא באמת קובץ HTML אלא משהו שמזמין את המשתמשים התמימים של אקספלורר להריץ איזה "כרטיס ברכה" או "חייגן לפורנו חופשי".
זה לינק לכתובת HTTP,
כלומר זה יכול להיות אחד משני דברים:
– קובץ HTML, שבסיכוי רב אינו מהווה סיכון אבטחה משמעותי, אבל שאולי מפנה להתקנה של תוכנה זדונית.
– תוכנה זדונית במסווה של PHP, שצריך להוריד ולהריץ.
מרגע שזה מגיע ליוזר שמריץ תוכנה זדונית בעצמו, כבר לא מדובר ממש בפרצת אבטחה אלא יותר ב- social engineering, ולזה אין למיקרוסופט פתרון יותר טוב מלפלטר. (כמובן שמערכת הפעלה אמיתית לא הייתה נותנת הרשאות גבוהות למשתמש, ותוכנה זדונית הייתה מוגבלת על ידי מערכת ההפעלה).
אתה מכיר מקרים שבהם URL מוביל באמת לניצול חולשה של אקספלורר או ווינדוס? (אבל משהו רציני, לא סתם מקריס אותו)
ברור שקיימים, למשל יש גם חורי אבטחה בפלאש, אבל פשוט לא שמעתי על משהו באמת רציני (remote exploit שמריץ פקודה על הקליינט) שמצריך תותח כבד כמו פילטור של IM).
אורן, כן – יש מקרים.
אם הדפדפן קורס כתוצאה מנתונים (HTML) בעייתי, אז בהרבה מקרים אפשר לגרום לו להריץ קוד אוטומטית, על הדרך.
הכל תלוי בגורם של הקריסה.
אם תסתובב במעגלים הנכונים גם תוכל לשים את הידיים שלך על כאלו אקפלוייטים עוד לפני שMS מוציאה להם טלאים.
יש שוק שלם של כאלו אקספלוייטים.
לגבי זה שנגד שהנדסה חברתית אין להם מה לעשות, אני לא מסכים:
אם הדפדפן לא יציע למשתמש להריץ את הקובץ בלחיצת כפתור אלא יכריח אותו לשמור אותו ואז להריץ, כבר מנעת הפעלה של 90% המשמתמשים הטפשים.
משתמשים פחות טפשים אולי גם ידעו להיזהר.
אני לא חושב שפילטור של IM זה תותח כבד, נראה לי יותר כמו איזה תוצר של ישיבה של כמה משועממים.
קל לראות איך דיון על תולעת שמתפשטת דרך המסנג'ר יצוף בישיבת סטטוס, ואיך מישהו יציע לחסום את הכתובת הבעייתית "כפתרון זמני, עד שהחברה' באבטחה יתקנו את זה באמת".