תאריך פרסום מקורי: ה-9 בדצמבר 2025
מזהה KB: 5074596
מאמר זה מתאר שינוי שמשפיע בעיקר על סביבות ארגוניות או על סביבות המנוהלות על-ידי IT, שבו קבצי Script של PowerShell משמשים לאחזור תוכן אינטרנט ואוטומציה. אנשים שימוש במכשירים בהגדרות אישיות או ביתיות בדרך כלל אינו צריך לבצע פעולה כלשהי, מכיוון שתרחישים אלה אינם נפוצים מחוץ לסביבות מנוהלות IT.
|
שנה תאריך |
שינוי תיאור |
|
הפצה ב- 20 בדצמבר 2025 |
|
סיכום
Windows PowerShell 5.1 מציג כעת בקשת אישור אבטחה בעת שימוש בפקודה Invoke-WebRequest כדי להביא דפי אינטרנט ללא פרמטרים מיוחדים.
אזהרת אבטחה: סיכון ביצוע קובץ Invoke-WebRequest מנתח את התוכן של דף האינטרנט. ייתכן שקוד Script בדף האינטרנט יופעל בעת ניתוח מבנה הטקסט של הדף.
פעולה מומלצת: השתמש במתג -UseBasicParsing כדי להימנע מביצוע קוד Script.
האם ברצונך להמשיך?
בקשה זו מזהירה שקובץ Script בדף עשוי לפעול במהלך ניתוח טקסט ומייעץ להשתמש בפרמטר -UseBasicParsing כדי להימנע מביצוע קובץ Script. המשתמשים חייבים לבחור להמשיך או לבטל את הפעולה. שינוי זה מסייע בהגנה מפני תוכן אינטרנט זדוני בכך שהוא דורש הסכמה מהמשתמש לפני פעולות שעלולות להיות מזדנות.
הפקודה Invoke-WebRequest של PowerShell מבצעת בקשת HTTP או HTTPS לשרת אינטרנט ומחזירה את התוצאות. מאמר זה מתעדכן שינוי קשה שבו Windows PowerShell 5.1 מציג במכוון בקשת אישור אבטחה בעת שימוש בפקודה Invoke-WebRequest כדי להביא דפי אינטרנט ללא פרמטרים מיוחדים. אופן פעולה זה מתרחש לאחר שהלקוחות והשרתים הנתמכים של Windows עדכונים Windows שהופצו ב- 9 בדצמבר 2025 ולאחר מכן. לקבלת מידע נוסף, ראה CVE-2025-54100.
מה השתנה?
-
אופן פעולה קודם
-
ניתוח של מודל אובייקט מסמך מלא (DOM) באמצעות רכיבי Internet Explorer (ממשק HTMLDocument (mshtml)), שעשוי לבצע קבצי Script מתוכן שהורד.
-
-
אופן פעולה חדש
-
בקשה לאישור אבטחה: לאחר התקנת עדכוני Windows שהופצו ב- 9 בדצמבר 2025 או לאחר מכן, הפעלת הפקודה Invoke-WebRequest (המכונה גם 'קרלינג') ב- PowerShell 5.1 מפעילה בקשת אבטחה (כאשר לא נעשה שימוש בפרמטר מיוחד). הבקשה מופיעה במסוף PowerShell עם אזהרה לגבי סיכון ביצוע קובץ Script. משמעות הדבר היא ש- PowerShell משהה כדי להזהיר אותך כי ללא אמצעי זהירות, תוכן ה- Script של דף האינטרנט עשוי לפעול במערכת שלך בעת עיבודו. כברירת מחדל, אם אתה מהקיש Enter (או בוחר לא), הפעולה תבוטל לבטיחות. PowerShell יציג הודעה על כך שהוא בוטל עקב חששות אבטחה ויציע להפעיל מחדש את הפקודה באמצעות הפרמטר -UseBasicParsing לעיבוד בטוח. אם תבחר כן, PowerShell ימשיך לנתח את הדף באמצעות השיטה ישנות יותר (ניתוח HTML מלא), כלומר, הוא יטען את התוכן ואת קבצי ה- Script המוטבעים כפי בעבר. למעשה, בחירה ב'כן' פירושה שאתה מקבל את הסיכון ומאפשר לפקודה לפעול כפי שהיא הופעלה בעבר, ובחירה באפשרות לא (ברירת המחדל) מפסיקה את הפעולה כדי להגן עליך.
-
שימוש אינטראקטיבי לעומת Scripted: הקדמה של בקשה זו משפיעה בעיקר על השימוש האינטראקטיבי. בהפעלות אינטראקטיביות, תראה את האזהרה ועליך להגיב. עבור קבצי Script אוטומטיים (תרחישים לא אינטראקטיביים כגון משימות מתוזמנות או צינורות CI), בקשה זו עלולה לגרום ל- Script להיתקע בעת המתנה לקלט. כדי למנוע זאת, מומלץ לעדכן קבצי Script כאלה כדי להשתמש בפרמטרים בטוחים באופן מפורש (ראה להלן), כדי להבטיח שהם לא ידרשו אישור ידני.
-
בצע פעולה
רוב קבצי ה- Script והפקודות של PowerShell המשתמשים בפקודה Invoke-WebRequest ימשיכו לפעול עם שינויים מעטים או ללא שינויים. לדוגמה, קבצי Script שמורידות תוכן בלבד או עובדים עם גוף התגובה כטקסט או כנתונים אינם מושפעים ולא דורשים שינויים.
אם יש לך קבצי Script המושפעים משינוי זה, השתמש באחת מהגישה הבאות.
כדי להביא תוכן, לא נדרשת כל פעולה אם השימוש האופייני שלך בפקודה Invoke-WebRequest הוא להביא תוכן (כגון הורדת קבצים או קריאת טקסט סטטי) ולא מסתכם על אינטראקציה מתקדמת באתר או ניתוח HTML DOM. אופן הפעולה החדש המהווה ברירת מחדל מאובטח יותר - קבצי Script המוטבעים בתוכן אינטרנט לא יפעלו ללא הרשאה שלך - זוהי התצורה המומלצת עבור רוב התרחישים.
לשימוש אינטראקטיבי, פשוט הגב לא לבקשת האבטחה החדשה (או הקש Enter כדי לקבל את ברירת המחדל) והפעל מחדש את הפקודה באמצעות הפרמטר -UseBasicParsing כדי לאחזר בבטחה את התוכן. פעולה זו תימנע מביצוע קוד Script כלשהו בדף שהובא. אם אתה מביא לעתים קרובות תוכן אינטרנט באופן אינטראקטיבי, שקול להשתמש בפרמטר -UseBasicParsing כברירת מחדל בפקודות שלך כדי לדלג על הבקשה לחלוטין ולהבטיח בטיחות מרבית.
עבור קבצי Script אוטומטיים או משימות מתוזמנות, עדכן אותם כך שיכלול את הפרמטר -UseBasicParsing בקריאות Invoke-WebRequest. פעולה זו גורמת לבחירת אופן הפעולה הבטוח כך שהבקשה לא תופיע והקובץ ה- Script ימשיך לפעול ללא הפרעה. על-ידי ביצוע פעולה זו, אתה מבטיח שהאוטומציה שלך תפעל בצורה חלקה לאחר העדכון, תוך שימוש באבטחה משופרת.
-
עבור קבצי Script שפועלים עם האפשרות -NoProfile: אם קובץ ה- Script כולל מופעים רבים של קריאות Invoke-WebRequest, הצהר על $PSDefaultParameterValues['Invoke-WebRequest:UseBasicParsing'] = $true בחלק העליון של קובץ ה- Script.
-
כאשר Invoke-WebRequest נמצא בשימוש עם הפרמטר -UseBasicParsing , ניתוח מודל אובייקט מלא (DOM) באמצעות רכיבי Internet Explorer (ממשק HTMLDocument (mshtml)) אינו אפשרי.
עבור קבצי Script או אוטומציה הבעייתיים בתוכן אינטרנט לא מהימן או ציבורי ודורשים עיבוד של מבני HTML או טפסים, שקול לשנות או לעדכן אותם לצורך בטיחות לטווח ארוך. במקום להשתמש ב- PowerShell כדי לנתח ולהפעיל קבצי Script של דפי אינטרנט שעלולים להיות מסוכנים, באפשרותך:
-
השתמש בשיטות או בספריות חלופיות לניתוח טקסט (לדוגמה, התייחס לתוכן דף האינטרנט כטקסט רגיל או כ- XML, באמצעות ספריות ניתוח מסוג regex או XML/HTML שלא מבצעות קבצי Script).
-
בצע מודרניזציה של הגישה שלך לאינטראקציות באינטרנט, אולי באמצעות PowerShell Core חדש יותר (גירסה 7.x ואילך) שאינה תלויה במנוע של Internet Explorer ומונעת הפעלה של קבצי Script, או על-ידי שימוש בכלים מיוחדים לגרד אתרים המטפלים בתוכן בצורה מאובטחת יותר. הגבל את מספר התכונות הספציפיות ל- Internet Explorer, מאחר ש- Internet Explorer אינו נמצא עוד בשימוש. תכנן לשכתב חלקים של קבצי ה- Script שלך התלויים בתכונות אלה כדי שהם יוכלו לעבוד בסביבה שבה תוכן אינטרנט מטופל בבטחה.
-
Invoke-WebRequest ב- PowerShell Core (גירסה 7.x ואילך) אינו תומך בניתוח DOM באמצעות רכיבים של Internet Explorer. ניתוח ברירת המחדל שלו יאחזר בבטחה את התוכן ללא ביצוע קובץ Script.
-
-
המטרה עם השנון היא להשיג את הפונקציונליות הדרושה שלך מבלי לחשוף את עצמך סיכוני אבטחה, ובכך לאמול ברירות המחדל הבטוחות יותר שהוצגו על-ידי שינוי זה.
אם יש לך צורך ספציפי להשתמש ביכולות המלאות של ניתוח HTML של פקודת Invoke-WebRequest (כגון אינטראקציה עם שדות טופס או גרוטאות נתונים מובנים) ואתה נותן אמון במקור תוכן האינטרנט, עדיין תוכל להמשיך עם אופן הפעולה של ניתוח מדור קודם לפי מקרה. בהפעלות אינטראקטיביות, פירוש הדבר הוא פשוט בחירה באפשרות כן בשורת האישור כדי לאפשר לפעולה להמשיך. תקבל תזכורת לגבי סיכון האבטחה בכל פעם ותבצע זאת. המשך ללא הפרמטר -UseBasicParsing צריך להיות מוגבל לתרחישים שבהם אתה נותן אמון מלא בתוכן האינטרנט (לדוגמה, יישומי אינטרנט פנימיים תחת השליטה שלך או אתרי אינטרנט בטוחים ידועים).
חשוב: גישה זו אינה מומלצת עבור קבצי Script הפועלים מול תוכן אינטרנט לא מהימן או ציבורי, מכיוון שהיא מחזרת את הסיכון לביצוע קבצי Script שקטים שעדכון זה נועד לצמצם. כמו כן, עבור אוטומציה לא אינטראקטיבית, אין מנגנון מוכלל להסכמה אוטומטית לבקשה, ולכן מומלץ להסתבסס על ניתוח מלא בקבצי Script (בנוסף להיותו מסוכן). השתמש באפשרות זו לעתים רחוקות ורק כמדד זמני.
שאלות נפוצות
ברוב המקרים, קבצי Script שמורידות קבצים או מביאות תוכן אינטרנט כטקסט ימשיכו לפעול. כדי להימנע מהבקשה, הוסף את הפרמטר -UseBasicParsing.
קבצי Script המשתמשים בניתוח HTML מתקדם (כגון טפסים או DOM) עשויים להיתקע או ליצור פלט של נתונים גולמיים במקום אובייקטים מובנים; יהיה עליך לעבור לניתוח בסיסי או לשנות את קובץ ה- Script כדי לטפל בתוכן באופן שונה.
השתמש תמיד בפרמטר -UseBasicParsing עם הפקודה Invoke-WebRequest בקבצי Script של PowerShell כדי להבטיח הפעלה בטוחה ולא אינטראקטיבית.
כן. יש לעדכן קבצי Script בהתאם לניתוח מדור קודם כדי להצטרף או לספק מחדש.
השינוי ב- PowerShell ישים הן על עדכונים רגילים והן על עדכונים חמים, והתוצאה היא אותו שינוי אופן פעולה.
כן. PowerShell 7 כבר משתמש בניתוח מאובטח כברירת מחדל.
פנה לבעלים של המודול לקבלת תוכניות תמיכה. השתמש בהצטרפות באופן זמני עבור תוכן מהימן במהלך ההעברה.
כדי להתכונן לאימות שינוי זה, אנו ממליצים לך:
-
זהה קבצי Script באמצעות תכונות DOM.
-
בדוק אוטומציה עם ברירת המחדל החדשה.
-
הגבל את הסכמת ההצטרפות מדור קודם למקורות מהימנים.
-
תכנון השמטה עבור תוכן לא מהימן.
