Naršyklių pažeidžiamumai

Viena plačiausiai naudojamų naršyklių Internet Explorer, deja, turi įvairių saugumo spragų, kurias išnaudojus gali būti paleistas kenksmingas programinis kodas ar įvykdytas kitas nesankcionuotas veiksmas. Pavojingiausių spragų išnaudojimas gali sukelti nuotolinį kodo vykdymą be jokio vartotojo įsikišimo, kai jis apsilanko specialiai paruoštme piktavalių valdomame tinklalapyje arba skaito elektroninį paštą. Naršyklių saugumo spragos yra plačiai išnaudojamos, norint įdiegti šnipinėjimo (spyware), reklamines (adware) ar kitas žalingas programas vartotojų kompiuteriuose. Tinklalapių falsifikavimo galimybių spragomis buvo pasinaudota atliekant phishingo atakas. Daugeliu atveju pažeidžiamumai buvo „0 dienų” tipo, t.y. jais pasinaudota tuo metu, kai jie buvo viešai atskleisti ir dar nebuvo sukurta jokių pataisų.

Siekiant apsaugoti Internet Explorer, rekomenduojama diegti nuolatinius atnaujinimus, taip pat pakeisti Internet Explorer saugumo nuostatas:

•Tools” meniu pasirinkite „Internet Options”.

•Pasirinkite „Security” kortelę ir tuomet spustelkite „Custom level” Interneto zonoje. Dauguma IE spragų pasinaudojama per Active skripting arba ActiveX valdymą.

•Skripting” skiltyje, prie „Allow paste operations via script”, pasirinkite „Disable” , jei nenorite, kad būtų pasinaudota duomenimis, esančiais mainų srityje (clipboard). Pastaba: išjungus Active Scripting, kai kurios svetainės gali tinkamai neveikti. ActiveX Controls nėra toks populiarus, bet potencialiai gali pridaryti daugiau žalos, nes jis suteikia daugiau prieigos prie sistemos būdų.

•Pasirinkite „Disable” prie „Download signed and unsigned ActiveX Controls”. Taip pat pasirinkite „Disable” prie „Initialize and script ActiveX Controls not marked as safe”.

•Java programėlės (applets) paprastai turi daugiau galimybių nei skriptai. „Windows VM” srityje pasirinkite „High safety” prie „Java permissions” tam, kad tinkamai apribotumėte Java programėles ir išvengtumėte nepageidaujamos slaptos prieigos prie sistemos.

•„Miscellaneous” srityje pasirinkite „Disable” prie „Access to data sources across domains”, kad išvengtumete tarptinklinio skriptingo (cross-site scripting) atakų.

•Taip pat pasirūpinkite, kad jokios nepatikimos svetainės nepatektų į „Trusted sites” arba „Local intranet” sąrašus, nes šios zonos turi mažesnius saugumo reikalavimus nei kitos zonos.

Kitos plačiai naudojamos naršyklės yra Mozilla ir Firefox, kurios pasirodė kaip perspektyvios alternatyvos Internet Explorer naršyklei. Joms priklausanti naršyklių rinkos dalis nuolat auga. Tačiau dėl padidėjusio vartotojų skaičiaus naršykles kruopščiai peržiūrinėja tiek saugumo auditoriai, tiek įsilaužėliai. Dėl to jose per praėjusius metus taip pat buvo atrasta įvairių pažeidžiamumų. Daugelis atrastų spragų yra kritinio pobūdžio ir leidžia piktybiniam tinklalapiui visiškai sukompromituoti vartotojų sistemas. Šias spragas išnaudojantys kodai taip pat yra prieinami viešai. Siūlytina šioms naršyklėms įsidiegti naujausius atnaujinimus iš gamintojų tinklalapių.