 |  |
|
מיקרוסופט: גל הפריצות האחרון לאתרי אינטרנט אינו באשמתנו
בניגוד להערכות שנשמעו בימים האחרונים, החברה טוענת כי אין באגים חדשים בתוכנות ה-IIS או ה-SQL Server
28.04.08 | 16:53Security
ענקית התוכנה מיקרוסופט הכחישה ביום שישי האחרון כי נקודות תורפה בשרת האינטרנט או בשרת ה-SQL שלה נוצלו על ידי האקרים על מנת לפרוץ למאות אלפי דפי אינטרנט.
"החקירה שלנו העלתה שאין שום נקודות תורפה חדשות הניתנות לניצול. גל הפריצות האחרון אינו תוצאה של נקודת תורפה ב-IIS (שרת האינטרנט הפופולרי של מיקרוסופט) או ב-Microsoft SQL Server", כתב ביל סיסק, מנהל במרכז תגובות האבטחה של החברה בהודעה מיוחדת.
דבריו של סיסק פורסמו בתגובה לדיווחים על כך שיותר מחצי מיליון דפי אינטרנט, ובכללם כאלה השייכים לארגון האומות המאוחדות, נפרצו באמצעות מתקפות של SQL Injection (שיטה המנצלת פרצות אבטחה הקשורות במסד הנתונים על מנת "להזריק" קוד לנתוני שאילתות SQL). לאחר שנפרצו, האתרים עודכנו כך שהגולשים שביקרו בהם הודבקו בתוכנות זדוניות.
ביום שישי בבוקר מסרה חברת Panda Security כי הודיעה למיקרוסופט על בעיית אבטחה בשרת האינטרנט של החברה. עם זאת חברת האבטחה נמנעה מלהכריז באופן מפורש על הבעיה כ"נקודת תורפה".
סיסק מצידו אמר שהמתקפות על האתרים היו מתקפות הזרקת SQL סטנדרטיות. "לא מדובר על בעיות הקשורות ל-IIS 6.0, ASP, ASP .Net או טכנולוגיות ה-SQL של מיקרוסופט", טען.
גם צוות ה-IIS של מיקרוסופט הצטרף להכחשות שהמתקפות ניצלו באגים, ידועים או לא ידועים, בתוכנות של החברה. "בכל מה שקשור למשתמשי הקצה, החקירה לא הראתה כל סימן לנקודת תורפה קיימת ב-IIS, SQL Server, אינטרנט אקספלורר, או כל תוכנה מקומית אחרת של מיקרוסופט, כך שההמלצה שלנו ללקוחות היא להתקין את עדכוני התוכנה החדשים ביותר ובכך להגן על עצמם באופן מלא", כך לפי דברים שאמר ביום שישי בלילה ביל סטייפלס, מנהל מוצר IIS בפורום התמיכה של IIS.
למרות הספקולציות על כך שהמתקפות קשורות באופן כשלהו לנקודת התורפה עליה דיווחה מיקרוסופט ב-17 לאפריל, סיסק טען כי אין זה המצב. "הגענו גם למסקנה חד משמעית שהמתקפות הללו אינן קשורות בשום צורה להמלצת האבטחה 951306 אותה פרסמנו לאחרונה", הבהיר.
סיסק וסטייפלס הפצירו במפתחי אתרים לעבוד על פי הקווים המנחים של מיקרוסופט על מנת להגן על המתחמים שלהם ממתקפות המבוססות על הזרקת SQL.
עשרת הגדולים
- 1. המוצ'ילר הדיגיטלי
- 2. החיוך נעלם: אינטרנט זהב מפרקת את סמייל מדיה
- 3. מרכזי נתונים מהגיהינום
- 4. אמימון הישראלית בדרך לכיבוש שוק הטלוויזיות
- 5. שבוע לאחר השקת האתר: נענע 10 מפטרת כ-20 עובדים
- 6. נפרצה חנות התוכנות של ה-iPhone
- 7. סוף לפרשה שהסעירה את מקאפי ישראל: יניב אלפי עוזב
- 8. פרוייקט מיוחד: תעשיית ההיי-טק והדולר
- 9. כמו ויקיפדיה רק עם כסף וקרדיט: גוגל השיקה את האנציקלופדיה המקוונת נול
- 10. צוקרברג מציג: בקרוב בפייסבוק
תוכניתן WEB – פורטל דרושים
ידע ב Javascript, XML, HTML, SQL לפחות שנתיים נסיון
IskIT | Internetראש צוות QA – פורטל דרושים
ניסיון בניהול צוותי QA לפחות שנתיים ניסיון בתקשורת – יתרון אופק ניהולי למצטיינים
IskIT | Israeli High Tech | Startupsמנהל פטנטים - סאנדיסק
דרוש עורך דין אשר יהיה אחראי על חלק משמעותי מפורטפוליו הפטנטים של חברת סאנדיסק
IskIT | Israeli High Tech | Hardware | Silicon Wadi
