HWSW

Sérülékenység az Internet Explorerben és a Firefoxban

Biztonsági szakértők sérülékenységet fedeztek fel az Internet Explorerben és a Firefoxban, valamint az összes Mozilla-alapú böngészőben, amelyet kihasználva támadók tetszőleges fájlokat lophatnak el a gépekről. Az érintett cégek ugyan beismerték a hibát, azonban szerintük az nem veszélyes, mivel a kihasználása rendkívül bonyolult, ráadásul szükség a felhasználó együttműködésére is.

[HWSW] Biztonsági szakértők sérülékenységet fedeztek fel az Internet Explorerben és a Firefoxban, valamint az összes Mozilla-alapú böngészőben, amelyet kihasználva támadók tetszőleges fájlokat lophatnak el a gépekről. Az érintett cégek ugyan beismerték a hibát, azonban szerintük az nem veszélyes, mivel a kihasználása rendkívül bonyolult, ráadásul szükség a felhasználó "együttműködésére" is.

A probléma a böngészők JavaScript-kezelésével kapcsolatos: egy megfelelően előkészített weboldalon a támadók figyelemmel kísérhetik a felhasználó billentyűleütéseit és egy rejtett fájlfeltöltési ablakba irányíthatják. Amennyiben valaki a gépén található egyik állomány teljes elérési útját begépeli, a támadók elindíthatják a feltöltést. A Microsoft hangsúlyozta, hogy egyelőre nincs tudomásuk olyan kódról vagy weboldalról, amely ezt a sérülékenységet használná ki.

Mivel a hiba kihasználásához szükség van a felhasználó "együttműködésére", az sem a Microsoft, sem a Mozilla Foundation szerint nem jelent súlyos fenyegetést és egyik cég sem tervez javítócsomagot kiadni. A cégek ehelyett a böngészőik jövőben megjelenő új változataiban fogják befoltozni a sérülékenységet. A Secunia biztonsági cég ötös skáláján mindössze kettesre értékelte a hiba súlyosságát.

A sérülékenység számos böngészőt érint, az Internet Explorer mellett a Firefox, Mozilla SeaMonkey, Mozilla Suite és a Netscape is tartalmazza a hibát, az elterjedt szoftverek közül az Opera és az Apple Safari viszont nem.

A cikk adatai:
//www.hwsw.hu/hirek/31473/serulekenyseg-az-internet-explorerben-es-a-firefoxban.html
Író: Bodnár Ádám (bodnar.adam kukac hwsw.hu)
Dátum: 2006. június 09. 09:02
Rovat: vállalati it