וואלה
וואלה
וואלה
וואלה

וואלה האתר המוביל בישראל - עדכונים מסביב לשעון

וואלה דואר
קרא דואר

כסף

חוקר אבטחה ישראלי גילה פרצת אבטחה קריטית בדפדפן ספארי של אפל

יזהר גביש

14.6.2007 / 18:24

אביב ראף, מומחה אבטחה ישראלי, גילה את הפרצה המאפשרת הרצה של קוד זדוני שעות ספורות לאחר השקת הדפדפן



סביר להניח שסטיב ג'ובס ואנשי אפל לא ממש רוו נחת בימים האחרונים: שעות ספורות לאחר שחברת אפל שיחררה גרסת בטא של דפדפן הספארי ל-Windows, גילו חוקרי אבטחה למעלה מחצי תריסר נקודות תורפה בתוכנה, כאשר שלוש מתוכן עלולות לאפשר להאקרים להשתלט כליל על המחשב.



גילה פרצת אבטחה בנגן קוויקטיים את אחד הדיווחים הראשונים על בעיות האבטחה של הדפדפן סיפק מומחה האבטחה הישראלי, אביב ראף. ראף, בן 28, עוסק בתחום האבטחה מזה מספר שנים וזו אינה הפעם הראשונה בה הוא נתקל בפרצות במוצרי אפל: בעבר הוא גילה פרצת אבטחה בנגן קוויקטיים של אפל.



בראיון ל-TheMarker מספר ראף כי "ההבטחה של אפל שהמוצר מאובטח החל מהיום הראשון הרגיזה אותי ולכן החלטתי לבדוק את רמת האבטחה של ספארי".



ראף נעזר בכלי בדיקה בשם Hamachi שפיתח יחד עם מומחה אבטחה נוסף בשם H D Moore. "אחרי שתיים שלוש דקות של בדיקה, הדפדפן פשוט קרס", הוא מספר "ואחרי שבדקתי במה מדובר, הבנתי שזו פרצה שמאפשרת הרצה של קוד זדוני על מחשב המשתמש".



ראף הודף את הטענה כי מדובר בגרסת בטא של הדפדפן, שעדיין אינה מושלמת. "נכון שמדובר בבטא", הוא אומר "אבל למצוא ביום הראשון מעל 18 פרצות אבטחה במוצר זה לא מבשר טובות. לדעתי, אפל לקחו את ספארי והעבירו אותו לחלונות כמו שהוא כמעט ללא בדיקה". בנוסף, הוא ממליץ למשתמשים לא להוריד כרגע את ספארי בגרסתו הנוכחית ולהמתין לגרסה הבאה של הדפדפן.



ראף סיכם את הנושא בבלוג שלו בו הוא כתב: "בדף ההורדות של דפדפן הספארי, כותבת אפל - 'מהנדסיה של אפל בנו את ספארי כך שיהיה מאובטח החל מ-day 1'. נראה לי שעכשיו אפשר לשנות את זה ל-day 0".



ראף לא היה החוקר היחיד שנתקל בבעיות אבטחה בספארי: דייוויד מיינור מחברת האבטחה Errata, פירסם הודעה על באג מספר שעות לאחר שחרורה של גרסת הדפדפן ל-Windows. עד לסופו של אותו יום, מצא מיינור שישה באגים. ארבעה מתוכם ניתן לנצל על מנת לגרום לסגירת הדפדפן ו/או השבתת המחשב ושניים נוספים, כך לטענתו של מיינור, ניתנים לשימוש במטרה להשיג שליטה במחשב מרחוק.



מיינור, שהסתכסך עם אפל בקיץ שעבר סביב הדגמה שערך על פריצה למחשבי MacBook, לא היסס לפני שתקף את החברה. "איני יכול לדבר בשמו של אף אחד אחר, אבל הבאגים שנמצאו בגרסת הבטא של הספארי למערכות Windows בהחלט רציניים, בעיקר תודות לחוסר מוחלט ביכולות אבטחה מתקדמות ב-OS X (מערכת ההפעלה של מחשבי המקינטוש)".



חוקר אבטחה דני בשם ת'ור לארהולם סיכם את יום הפתיחה של הספארי עם הגילוי החמור מכולם: נקודת תורפה המאפשרת השתלטות על המחשב מרחוק, אותה אף הדגים בעזרת קוד שכתב. לדברי לארהולם, פרק הזמן שהיה דרוש לו על מנת למצוא את נקודת התורפה ולכתוב את הקוד היה שעתיים בלבד ובעזרתו ניתן להשיג שליטה מלאה על המחשב. הוא הוסיף שלהערכתו חלק מהאשמה נעוצה בכך שמהנדסי אפל אינם מנוסים בכתיבת קוד לסביבת Windows.


טרם התפרסמו תגובות

הוסף תגובה חדשה

+
בשליחת תגובה אני מסכים/ה
    walla_ssr_page_has_been_loaded_successfully