شرح تفصيلي لجوانب ثغرة الماسنجر

    تمر دردشة الساحة الخاصة بالمتصفح والموبايل بفترة صيانة دورية هذا ونعتذر للجميع على الإنقطاع المؤقت بإمكانكم المشاركة في المنتدى لحين عودتها :)

    • شرح تفصيلي لجوانب ثغرة الماسنجر

      يمكن أن يستخدم الماسنجر للحصول على معلومات شخصية حول مستخدميه بمجرد دخولهم لصفحة ملغمة .

      ويمكن الحصول على اسم مستخدم الماسنجر باستخدام لغة JavaScript بالإضافة إلى جميع المضافين إليه ، وبالنسبة للذين يدخلون الماسنجر بدون اسم ربما يشكل خطراً على خصوصيتهم ( ملاحظة : الذين يدخلون الماسنجر بدون اسم سيؤدي ذلك إلى كشف عنوانهم البريدي )

      وباستخدام نفس التقنية ، يمكن لبعض المواقع المستضافة لدى أسماء معينة مثل ( microsoft.com, hotmail.com و hotmail.msn.com ) دخول بريد المستخدم ( بالإضافة إلى جميع عناوين المضافين وجهات الاتصال ) وربما تستخدمه ميكروسوفت لتعقب مستخدميها في مواقعها ، وهذا ما يعتبره الكثيرون انتهاكاً للخصوصية .

      بالإضافة إلى المواقع المذكورة أعلاه ، فإن الثغرة تسمح لمواقع أخرى بالدخول إلى بريد المستخدم باستخدام أحد مدخلات الريجيستري . ويتم صنع هذا المدخل سواء من أحد البرامج التجسسية Spyware أو البرامج الداعائية Adware المحملة من قبل المستخدم ( وأحياناً يتم ذلك من غير علمك بسبب استخدامك لأحد البرامج التجريبية ) حينئذٍ تصبح معرضاً لأن تعطي بريدك الإلكتروني لأي موقع يطلبه منك ثم يتم وضعه داخل ملف كوكي .

      تؤثر هذه الثغرة على كل من :

      • MSN Messenger 4.6.0073 على جهاز يعمل على نظام Windows 2000 ومتصفح إكسبلورر الإصدار السادس .

      • Windows Messenger 4.60073 على جهاز يعمل على نظام Windows XP ومتصفح إكسبلورر الإصدار السادس .

      • ربما يشمل باقي الإصدارات والأنظمة أيضاً .

      الثغرة من الجانب الفني :

      قامت ميكروسوفت بتصميم الماسنجر ليصبح استخدامه في صفحات الويب بشكل وظيفي باستخدام كل من JavaScript و VBScript . وهذا يشمل القدرة على عرض الاسم والبريد الإلكتروني للمستخدم وكذلك جهات الاتصال . كمحاولة لحماية المستخدمين فإنه يمكن فقط استخدام خيارات معينة في بعض المواقع التي تستخدم سكريبت للحصول على عناوين البريد الإلكتروني ، لكن كل ما يمكن أن يحصلوا عليه هو الاسم أو اللقب لمستخدمي الماسنجر .

      يمكنك مشاهدة قائمة من المواقع التي بمقدورها الدخول والتحكم الكامل بوظائف الماسنجر الخاص بك ( عناوين البريد الإلكتروني و أشياء أخرى ) على مفتاح الريجيستري التالي :

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \MessengerService\Policies\Suffixes

      إن القيم "Suffix0" ، "Suffix1" ، إلخ... لا يوجد بداخلها مدخلات بشكل افتراضي ، لكن من الممكن إضافة مدخلات إليها . على سبيل المثال . عند إضافة المدخل "test.com" للقيمة Suffix0 فإن هذا سيعطي الموقع test.com إمكانية الوصول إلى كامل معلومات الماسنجر .

      لا يشترط تحديد اسم الموقع كاملاً في القائمة ، فعند إضافة المدخل "com" فإن هذا سوف يسمح لجميع المواقع المنتهية بـ com. بالوصول الكامل إلى الماسنجر .

      بالرغم من ذلك فإنه بشكل افتراضي لا يوجد مدخلات ضمن القائمة ، إن المواقع الثلاثة المذكورة بالأعلى مدونة بالماسنجر بشكل صعب لنفس الغرض ، وهذا ما يجعل المواقع التابعة لشركة ميكروسوفت ( مثل هوتميل ) تبدو جذابة وذلك بربط مميزات الماسنجر بتلك المواقع ، وهنا فإن المستخدم لا يمكنه إزالة زاوية حالة الماسنجر الموجود في تلك المواقع .

      الطريقة الوحيدة أمام المستخدم لكي يمنع تلك المواقع من الوصول إلى معلوماته هو تسجيل الخروج من الماسنجر قبل فتحه لتلك المواقع .

      انظر إلى مصدر الصفحة المدونة أدناه كمثال لمعرفة الطريقة .

      الصفحة التجريبية

      لقد قمنا هنا بوضع صفحة بسيطة كمثال لتوضيح المشكلة :

      raburton.members.easyspace.com/msn/

      سوف يتم الكشف عن لقبك وعن جميع ألقاب جهات الاتصال في القائمة . إذا قمت بإضافة مدخل الريجيستري المذكور أعلاه فإنه سيتم الكشف عن عنوان بريدك الإلكتروني بالإضافة إلى عناوين جهات الاتصال الخاصة بك .

      بعض النصائح لتفادي هذه الثغرة

      • سارع بجلب التحديث الأخير للماسنجر المحصن من هذه الثغرة والذي لا يسمح لطرف ثالث من الحصول على معلومات حول ماسنجرك ،يمكنك الحصول عليه من هنا

      • سارع بترقيع الثغرة الأمنية لمتصفح إكسبلورر من هنا

      • ضع لقباً خاصاً بك لكي لا يتم الكشف عن بريدك الإلكتروني بسهولة .

      • افحص المدخلات التالية بشكل منتظم

      HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftMessengerServ
      ice\Policies\Suffixes
      خصوصاً بعد تحميلك لأحد البرامج المجانية أو التجريبية .

      منقول