Serious security flaws in Microsoft web browser

World Socialist Web Site www.wsws.org

WSWS :செய்திகள் & ஆய்வுகள்:கணனி தொழில்நுட்பம்

Serious security flaws in Microsoft web browser

மைக்றோசொப்ட் இணைய மேலோடியில் ஆபத்தான பாதுகாப்பு குறைபாடுகள்

How safe is your computer?

உங்களது கணினி எவ்வளவு பாதுகாப்பான வகையில் இருக்கிறது?

By Mike Ingram
12 January 2002

மைக்ரோசொப்டின் இயங்கு தளத்தை (Operating Systems) நீங்கள் பாவிப்பவராக இருந்தால், ''உங்கள் கணினி எவ்வளவு பாதுகாப்பாக இருக்கிறது'' என்ற கேள்விக்கான பதில், ''அவ்வளவு பாதுகாப்பாக இல்லை'' என்பதாகவே இருக்கும்.

அமெரிக்காவிலும் மற்றும் தற்போது ஐரோப்பாவிலும் நம்பிக்கையின்மை தொடர்பான ஒரு சில வழக்குகளின் மையத்தில் இருக்கும் மாபெரும் மென்பெருள் (Software) நிறுவனம் இப்போது அதனது வாடிக்கையாளர்களின் அடிப்படை பாதுகாப்புக்கு அதிகரித்தமுறையில் உறுதிப்படுத்துவதற்கு சாத்தியமற்று இருக்கிறது. முதலில் வெளியான இயங்கு தளங்களான Windows 98 மற்றும் 95 இல் இல்லாத பல பாதுகாப்பு அம்சங்கள் தற்போது வெளியாகியிருக்கும் Windows XP இயங்கு தளத்தில் அறிமுகப்படுத்தியிருந்தபோதும், வைரஸ் பாதுகாப்பு எச்சரிக்கைகள் மற்றும் பாதுகாப்பு குறைவுகளுக்கான முன்னறிவுப்புகளை தொடர்ச்சியாக பாவனையாளர்கள் இப்போதும் முகம்கொடுக்கினறனர்.

''ஒரே மூலக் கொள்கைள்'' ("same origin policy") என அறியப்படும் ஒரு பாதுகாப்பு விதியை புறக்கணிப்பதன் மூலம் ஒரு ஆபத்தான பாதுகாப்பு ஓட்டையை மைக்ரோசொப்ட் கொண்டிருக்கிறது என அண்மையில் "The Pull" என்ற பெயரால் வழிநடத்தப்படும் ஒரு சுயாதீன ஆய்வாளர்கள் குற்றம்சாட்டியுள்ளார்கள். ஒரு வித்தியாசமான window (கணணித்திரை) ஒரு இணைய மேலோடியில் திறக்கப்பட்டிருக்கும் ஒரு வலைத்தளம் (website) இன்னொரு வலைத்தளத்தை பாதிப்பதில் இருந்து தடுப்பதற்கான குழூக்குறியை (Code-குறியீடு) இந்த விதி வரைகிறது.

JavaScript (ஜாவா ஸ்கிறிப்ட்) பரந்தளவில் ஒரு scripting language ஆக உபயோகப்படுத்தப்பட்டு வருகிறது. இது ஒரு வலைத்தளத்தை பதிவுசெய்தல், அச்சிடுதல் போன்ற பல நடவடிக்கைகளை சுயமாக செயல்படுத்தவல்லது. இதற்குள் "document.open," எனப்படும் கட்டளைநிரலும் (command) உள்ளடங்கியிருக்கிறது. இந்தக் கட்டளை நிரல், குறிப்பிட்ட பாவனையாளர்களின் செயல்பாடுகளுக்கு பதிலாக ஒரு இரண்டாவது இணைய மேலோடி window திறக்கப்படுவதற்கு அனுமதிக்கும். ஒரு குறிப்பிட்ட ஆவணத்தின் அச்சுப்பிரதியை கொண்டிருக்கும் ஒரு இரண்டாவது window திறப்பதற்குத்தான் இந்த கட்டளை நிரல் பொதுவாக பாவிக்கப்பட்டுவருகிறது. புதிய window திறப்பதற்காக பயன்படுத்தப்படும் கட்டளை நிரலை அடிக்கடி உபயோகப்படுத்தும் வலைத் தளங்கள் விளம்பரங்களையும் அல்லது ஏனைய செய்திகளையும் கொண்டிருக்கும்.

Netscape (உலகரீதியாக முதலாவதாக உபயோகப்படுத்தப்பட்ட இணைய மேலோடி) இன் பொறியிலாளர்களால் JavaScript security guide இன் பாகமாக அபிவிருத்தி செய்யப்பட்ட "Same origin policy" கெடுதியான வலைத்தளங்கள் ஒன்றன் மீது ஒன்று இயங்குவதையும் மற்றும் வித்தியாசமான windows இல் இணைய மேலோடியால் திறக்கப்பட்டிருக்கும் இன்னொரு வலைத்தளத்தில் இருந்து நுணுக்கமான (sensitive) தகவல்களை எடுப்பதையும் தடுப்பதன் பாகமாகவும் ஸ்தாபிக்கப்பட்டது.

மைக்றொசொப்ட் இந்த கொள்கையை புறக்கணித்து இருப்பதாகவும், அதனது பிரசித்தி பெற்ற 5.5, 6.0 Internet Explorer இணைய மேலோடிகள் அப்படியான ஒரு பிரதிபண்ணும் செயல்பாட்டிற்கு அனுமதியளிக்கின்றன என "The Pul" பிரகடனம் செய்திருக்கிறது. இது ஒரு தாக்குதலாளரை(attacker) ஒரு பார்வையாளரின் cookie files இருந்து திருடுவதற்கான சாத்தியத்தைக்கொண்ட ஒரு பிரேத்தியாகமாக உருவாக்கப்பட்ட வலைத்தளத்தினை நிறுவுவதற்கு அனுமதியளிக்கிறது. Cookies என்பது அடிக்கடி ஒரு இணையத்திற்கு வந்துபோகும் பாவனையாளர்களை இனம்காணுவதற்காக வலைத்தளங்களால் உபயோகப்படுத்தப்படும் ஓரிடத்தில் சேமிக்கப்பட்டிருக்கும் பதிவுகளாகும். பிரசித்திபெற்ற இணைய வர்த்தக வலைத்தளங்கள், Cookies ஆனது பாவனையாளரின் இலக்கத்தில் இருந்து இரகசியச்சொல் மற்றும் வங்கி அட்டையின் இலக்கம் வரை அனைத்து தகவல்களையும் கொண்டிருக்கும். அத்துடன் சாத்தியமான தனிப்பட்ட தகவல்களின் திருட்டு Cookies இல் அடங்கியிருக்கின்றன. ஒரு நம்பிக்கை மிகுந்த சட்டரீதியான ஒரு வலைத்தளத்திற்குத்தான் வந்திருக்கிறேன் என ஒரு பாவனையாளரை நம்பும்படி செய்வதற்கு இந்த பாதுகாப்பு குறைபாடு பாவிக்கப்படலாம். உதாரணமாக, அப்படியான ஒன்றான இணைய வங்கியில் ஒருவர் தனது தனிப்பட்ட தகவல்களை பதிவுசெய்துவைக்கலாம்.

நவம்பர் 8 இல் தான் இப்படியான ஒரு களவுமுறை வெளிப்படையாக அறிவிக்கப்பட்டது. அதே நாள் "Active Scripting" ஐ செயலிழக்கசொல்லி வாடிக்கையாளர்களுக்கு ஆலோசனைசெய்யும் ஒரு பாதுகாப்பு அறிக்கை ஒன்றினை வெளியிடுவதற்கு மைக்ரோசொப்ட் நிர்ப்பந்தத்திற்குள்ளானது. குறிப்பிட்ட வலைத்தளங்களை பார்ப்பதற்கான பாவனையாளர்களின் சாதமானதன்மையை தடைசெய்யும்போதும், அழிவுண்டாக்கும் வித்தியாசமான வலைத்தளத்தையும், மின்னஞ்சலை அடிப்படையாக கொண்டதுமான வலைத் தள பக்கங்களில் இருந்து அவர்களை அது பாதுகாக்கலாம்.

இந்த பாதுகாப்பு குறைபாடு பற்றிய செய்திக்கான மைக்ரோசொப்ற்றின் பதிலானது நிறுவனத்தின் 'பொறுப்பின்மையை' இது அம்பலப்படுத்தியிருப்பதாக குற்றம் சாட்டுவதாக இருந்தது. நவம்பர் 8 அறிவித்தலுக்கு முன்னர் பாதுகாப்பு ஓட்டையினைப் பற்றி எதுவுமே தெரியவில்லை என மைக்ரோசொப்ட் அறிவித்தது. எப்படியிருந்தபோதும், நவம்பர் 19 ZDNet UK technology வலைத்தளத்தின் கட்டுரையின் பிரகாரம், நவம்பர் முதலாம் திகதிக்கு ஒரு கிழமைக்கு முன்னரே இக்குறைபாட்டை பற்றி எச்சரிக்கப்பட்டோம் என்பதை பின்னர் நிறுவனம் ஏற்றுக்கொண்டுள்ளது.

அந்த எச்சரிக்கையினை பூரணமாக விசாரணை செய்வதற்கு இரண்டு வாரம் முழுவதுமாக அவசியமாக இருந்தது என மைக்ரோசொப்ட் அறிவித்ததுடன், காலதாமத்தின் விளைவாக எந்தவித பாதுகாப்பு தாக்கமும் இடம்பெறவில்லை என அழுத்தமாக குறிப்பிட்டது.

''நாம் உடனடியாக தெளிவாக பதிலளிக்கப்போவதில்லை-- எவ்வளவு நம்பத் தகுந்த அழிவுண்டாக்கும் எச்சரிக்கையாக இருக்கிறது என்பதை வரையறுக்க நாம் கோதுமையை உமியில் இருந்து அரித்து எடுக்கவேண்டியிருக்கிறது,'' ''தவறான அபாய ஒலியை உருவாக்கும் என்பதால் இந்த விவகாரத்தை நாம் விசாரணை செய்யும் வரை, இந்த விடயம் பற்றிய ஒரு அறிக்கையை நாம் வெளியிடப்போவதில்லை'' என Windows உற்பத்தியின் வியாபார மேலாளர் Neil Laver, ZDNet இடம் குறிப்பிட்டார்.

பாதுகாப்பு பலவீனம் பற்றி பகிரங்கமாக அறிக்கை வெளியிடுவதற்கு மட்டும் மைக்ரோசொப்ட் தவறவில்லை மாறாக அது பாதுகாப்பு ஓட்டை பற்றி எச்சரித்தவர்கள் எவருக்கும் எந்தவித பதிலையும் அளிக்கவில்லை என ZDNet அறிக்கைவிட்டது.

நவம்பர் 1 இல், தான் கண்டுபிடித்த ஒரு ஆபத்தான பாதுகாப்பு தாக்கத்தை தொழில்நுட்ப விவரத்துடன் மைக்ரோசொப்டின் பாதுகாப்பு பதிலளிப்பு மையத்திற்கு IT security firm Online Solutions என்னும் நிறுவனம் கையளித்தது. அந்த எச்சரிக்கையை மைக்ரோசொப்ட் ஏற்றுக்கொண்டதுடன், தான் அந்த விவகாரத்தை கூடிய விரைவில் விசாரணை செய்வதாக உறுதியளித்து ஒரு வாரத்தின் பின்னரும் மைக்ரோசொப்டிடம் இருந்து எந்த பதிலும் வராததால், Online Solutions பொதுமக்களிடம் இதனைக் கொண்டுபோக முடிவெடுத்தது.

''நாம் பொறுப்பான காரியம் செய்தோம்-- வியாபாரத்திற்காக மென்பொருளை உபயோகப்படுத்தும் மற்றும் தனிப்பட்ட தகவல்களை அதில் வைத்திருப்பதையிட்டு நம்பிக்கயை கொண்டிருக்கும் மக்கள், அவை பாதுகாப்பானதாக இல்லை என்பதால் குறிப்பிட்ட நாட்களுக்கு விழிப்புடன் இருக்கவும்'' Online Solutions இன் நிர்வாக இயக்குனர் Jyrki Salmi கூறினார்.

எந்த அர்த்தத்திலும் பாதுகாப்பு குறைபாடுகள் மைக்ரோசொப்ட் மென்பொருள்களுக்கு மட்டும் மட்டுப்படுத்தப்பட்டதல்ல. பல இலட்சக்கணக்கான கணினி குழுக் குறிகளின்(computer code) இழைகளை கொண்டிருக்கும் Internet Explorer போன்ற சிக்கலான பயன்பாட்டு (applications) குறைபாடுகளுக்கு புகழ்பெற்றவை. இவைகளில் எதுவும் பரிசோதனை செய்யும் நிலையில் கூட குறைபாடுகளை களையவில்லை. பரந்த அளவில் ஒரு கணினி அமைப்பின் நிர்வாகிகளின் தொழில் பெரும்தொகையான எந்த அமைப்பிலும் செயல்படும் பயன்பாட்டு மற்றும் பயன்பாடுகளின் பாதுகாப்பு அறிவித்தல்களுக்கு பதிலளிக்கும் மென்பொருளை நிவர்த்தி செய்யும் நிரப்பும் மென்பொருள்களை (patches) உருவாக்குவதை கொண்டிருக்கிறது. பரந்த அளவில் மிக முக்கியமான பாதுகாப்பு குறைபாடுகள் ஆபத்தான பிரச்சனைகளை விளைவாக்காத படியும், கூடிய விரைவில் சிக்கலான விடயங்களுக்கும் மென்பெருளை அபிவிருத்தி செய்பவர்கள் விரைவாக பதிலளிக்கவேண்டும். மைக்ரோசொப்ட் உடனான விவகாரமானது அதனது அனைத்து programmes உம் குறைபாடுகளை கொண்டிருக்கின்றன என்பதல்ல மாறாக ஏற்றுக்கொள்ளக் கூடிய காலத்திற்குள் நிவர்த்தி செய்வதை அது தவறிவிட்டது என்பதாகும். அத்துடன் அறியப்பட்ட பலவீனங்களை, குறைந்தபட்சம் அண்மைய பிரச்சனையான Active Scripting ஐ செயலிழக்க செய்தலான எங்கும் கிடைக்கும் ஒரு சாதாரண காரியத்தைக் கூட அதனது மென்பொருளின் பாவனையாளர்களுக்கு தெரியப்படுத்தவில்லை.

அப்படி ஒரு அறிவித்தலை தாம் வெளியிட்டிருந்தால் கெடுநோக்கமுள்ள தாக்குதலாளர்களை (hackers) அந்த பலகீனங்களை இட்டு அது விழிப்படைய வைத்திருக்கும் மற்றும் பாவனையாளர் பாதுகாப்புடன் மேலும் நிவர்த்தி செய்ய வைத்திருக்கும் என மைக்ரோசொப்ட் கூறுகிறது. எதிரான பகிரங்கப்படுத்தலை தவிர்ப்பதற்கும், ஒரு கடினநிலையை சாதாரணமாக விடுவதையுமே நிறுவனம் எதிர்பார்த்தது என்பதுதான் அதிகமாக ஏற்றுக்கொள்ளக்கூடியதாக இருக்கும் ஒரு விளக்கமாகும்.

மைக்ரோசொப்ட்டுக்கு எதிரான ஏகபோக எதிர்ப்பு வழக்கு

அதனது ஏகபோக அத்துமீறலுக்காக மைக்ரோசொப்ட் நஸ்டஈடு செலுத்துவதற்கான பாதையை கண்டுபிடிக்க ஐக்கிய அமெரிக்க நீதிமன்றங்கள் முயற்சித்தது. மற்றும் முதலில் ஒன்பது மாநிலங்கள் இந்த வழக்கில் ஈடுபட்டதுடன் முன்வைக்கப்பட்ட தீர்வை தொடர்ச்சியாக நிராகரித்தன. நீதிபதி Judge Jackson ஆலோசனை செய்ததுபோல், நிறுவனத்தின் பாதுகாப்பு தோல்விகள் சந்தேகமற்ற முறையில் மாபெரும் மென்பெருள் நிறுவனம் இன்னும் நொருங்கிவிடவில்லை என்ற அனுதாபங்களை பொங்கியெழவைக்கும்.

இவ்வழக்கு அதனது இணைய மேலோடி சந்தையில் முன்னணி வகிப்பதற்காக desktop செயற்பாடு பொறியமைவு இயங்கு தளத்தில் (desktop operating systems) மைக்ரோசொப்ட் எப்படி தனது ஏகபோகத்தை பயன்படுத்தியது என்பதே அறியப்பட்ட முதல் வழக்கு விசாரணையாகும். ஒரு பரந்த பாவனையாளர்களை அடிப்படையாக கொண்டிருக்கும் போட்டியாளரான Netscape இணைய மேலோடி, Windows இற்கு அபிவிருத்தி செய்யப்படும் பாவனைகளுக்கு ஒரு மாற்றீடு மேடையாக வந்துவிடுவதில் இருந்து தடுப்தையே மைக்ரோசொப்ட் கவனம் கொண்டிருந்தது. Netscape Navigator ஐ விட Internet Explorer மிக அற்புதமான உற்பத்தி என்பதாலே அது வெற்றிபெற்றது என வழக்கு விசாரணையின் போது மைக்ரோசொப்ட் வலியுறுத்தியது. உண்மையில், விரிந்த உலக வலையத்தின் விரைவான பிரசித்தியின் ஊடாகவே மைக்ரோசொப்ட் அறியப்பட்டதுடன், Netscape இடம் இருந்து பின்னணியை வெற்றிகொள்ளும் முயற்சியில் இலவசமாக கொடுக்கப்பட்டதன் காரணமாகவே Internet Explorer தீடீரென்று இடத்தைப் பிடித்துக்கொண்டது.

நீதிபதி Jackson இன் ஆலோசனைகளின் அடிப்படை மறுப்பானது மைக்ரோசொப்ட்டில் ஏனைய கட்டுப்பாடுகளுக்கு அழைப்புவிடவும், மென்பெருளின் முக்கியமான செயல்பாடுகளை வரையறை செய்யும் Internet Explorer இன் மூல வரைவு (source code) இனை கிடைக்கும்படி உருவாக்கவேண்டும் என கோரிக்கை எழுப்பவும் தள்ளியுள்ளது.

தங்களின் தொழில்நுட்ப மேன்மையால் தான் தமது உற்பத்திகள் பரவலாக பாவிக்கப்படுகிறது என விவாதிப்பதன் மூலம் தனது ஏகபோக நிலையை மைக்ரோசொப்ட் தொடக்கத்தில் நியாயப்படுத்த முனைந்தது. எப்படியிருந்தபோதும், ''Open Source software" (திறந்த மூல மென்பொருள்) இன் வளர்ச்சியும் மற்றும் குறிப்பாக இலவசமாக பாவிக்கக்கூடியதாக இருக்கும் Linux இயங்குதளத்தில் மென்பொருள்கள் செயல்படுவதும் மைக்ரோசொப்டின் திசையில் ஒரு மாற்றத்தை உருவாக்கியுள்ளது. Guardian Online குறிப்பிட்டதன்படி, ''அது தொழில்நுட்பத்தை அடிப்படையாகக் கொண்ட தனது விவாதங்களை கைவிட்டதுடன், பார்ப்பதற்கு அதிகரித்த அவநம்பிக்கையுடன் புத்திஜீவித சொத்தின் பக்கம் (intellectual property) திரும்பியுள்ளது.

''அது தொடும் அனைத்திலும் ஒரு புத்திஜீவித சொத்துரிமை அடித்தளத்தில் தன்னை இணைத்துக்கொள்ளும் Linux ஒரு புற்றுநோயாக இருக்கிறது'' என மைக்ரோசொப்டின் தலைமை நிறைவேற்று அதிகாரி Steve Ballmer குறிப்பிட்டதை பத்திரிக்கை மேற்கோள் காட்டியது.

திறந்த மூலம் (Open Source) என்பது சாதரணமாக ஒன்றுமில்லாமல் (செலவில்லாமல்) சிலவற்றை பெற்றுக்கொள்ள விரும்பும் மக்கள் பற்றியது என மைக்ரோசொப்ட் குறிப்பிட்டபோதும், யதார்த்தத்தில் அதனது வக்கீல்கள் அரிதாவே செலவுத்தொகை தொடர்பாக கவனம் கொண்டுள்ளார்கள். மென்பொருள் பாவனையாளர்கள் source code இனை இலவசமாய் பெற்றுக்கொள்ள வேண்டி இருந்தால், அது ஏனைய அவசியமான முன்னேற்றங்களை செய்வதற்கும் மற்றும் programmes களுக்கு மாபெரும் இயக்கத்தன்மையை கொடுப்பதற்கு திருத்தியமைக்கக் கூடியதாக இருக்கும் என்பதே அவர்களது முக்கிய கவலையாகும்.

ஐரோப்பிய ஒன்றியத்தின் நிறைவேற்று குழுவான ஐரோப்பிய குழுவின் ஏகபோகத்திற்கு எதிரான விசாரணையை மைக்ரோசொப்ட் தற்போது முகம்கொடுத்து வருகிறது. இணையவழங்கி (Server) சந்தையில் ஒரு பங்கினை பெற்றுக்கொள்வதற்கு மாபெரும் மென்பொருள் நிறுவனம் தனது desktop இயங்கு தளங்களின் சந்தையின் ஆளுமையை நேர்மையின்மையுடன் உபயோகப்படுத்தியதா என ஐரோப்பிய கமிஷன் விசாரணைசெய்கிறது. இவ்வழக்கில் தீர்வு சிலவேளை அடுத்த சிலமாதங்களில் எதிர்பார்க்கப்படுகிறது. மைக்ரோசொப்டின் வருமானத்தின் 10 வீதம், கிட்டதட்ட 2.5 பில்லியன் டொலர் வரை நஸ்ட ஈடாக கேட்பதற்கு ஐரோப்பிய கமிஷன் அதிகாரத்தை கொண்டிருக்கிறது.

ஐக்கிய அமெரிக்க வழக்கினைப்போல், ஐரோப்பிய கமிஷன் என்னதான் நடவடிக்கையை எடுத்தபோதும், இது உலகம் முழுவதும் கணினி அவர்களது அன்றாட வாழ்வின் ஒரு முக்கியபாகமாக அதிகரித்தளவில் உருவாக்கியுள்ள மில்லியன்கணக்கான சாதாரண மக்களின் நலன்களிற்கு எதையுமே செய்துவிடப்போவதில்லை. தவிர்க்கமுடியாதபடி, மைக்ரோசொப்ட் போன்ற பிரமாண்டமான நாடுகடந்த நிறுவனத்தினால் ஆளுமைப்படுத்தப்பட்டிருக்கும் மற்றும் தனியார் இலாபதிரட்சியை அடிப்படையாகக்கொண்டிருக்கும் சமூக அமைப்புடன், திறந்த மூலம் (Open Source) கருத்துப்பாடானது ஒரு நேரடி முரண்பாட்டிற்கு வருகிறது.