:

Szerző: Bodnár Ádám

2007. február 8. 09:47

Két biztonsági rést találtak a Mozilla Firefoxban

Két biztonsági rést fedeztek fel a Mozilla Firefoxban, amelyeket kihasználva támadók hozzáférhetnek az áldozat gépén tárolt állományokhoz, így akár bizalmas személyes vagy banki adatokhoz is hozzájuthatnak. Ironikus módon mindkét sebezhetőség a Firefox biztonsági szolgáltatásait érinti, az egyik a felugró ablakok kezelésével, a másik pedig az adathalász-támadások elleni védelemmel kapcsolatos.

[HWSW] Két biztonsági rést fedeztek fel a Mozilla Firefoxban, amelyeket kihasználva támadók hozzáférhetnek az áldozat gépén tárolt állományokhoz, így akár bizalmas személyes vagy banki adatokhoz is hozzájuthatnak. Ironikus módon mindkét sebezhetőség a Firefox biztonsági szolgáltatásait érinti, az egyik a felugró ablakok kezelésével, a másik pedig az adathalász-támadások elleni védelemmel kapcsolatos.

A Firefox alapesetben nem engedélyezi a weboldalak számára a helyben tárolt állományokhoz való hozzáférést, azonban a felugró ablakok kezelésével kapcsolatos rutin hibáját kihasználva támadók mégis elérhetik azokat, olvashatják őket, miáltal akár bizalmas személyes adatokhoz is hozzájuthatnak. A támadóknak nincs más dolga mint létrehozni egy weboldalat egy speciális kóddal, majd ideirányítani a felhasználót és rávenni arra, hogy kapcsolja ki a pop-up ablakokat blokkoló funkciót és máris hozzáférhetnek a gépen tárolt fájlokhoz.

A SecuriTeam által nyilvánosságra hozott másik sérülékenység a phising-szűrővel kapcsolatos: egy megfelelően előkészített weboldallal a szűrő átverhető, így a felhasználó a phishing-oldalra lépve azt biztonságosnak véli. A Firefox elég könnyen átverhető -- állítja a SecuriTeam --, mindössze néhány karaktert kell hozzáírni a weboldal címéhez. Az első sebezhetőség a Firefox 2.0 előtti változatokat érintheti, a második azonban a legújabb, 2.0.0.1-es verzióan is jelen van. A Mozilla egyelőre nem reagált.

Derítsd ki, hol tartasz a felhőérettségben a Devertix Cloud Readiness felmérésével, mellyel átfogó képet kaphatsz vállalatod felkészültségéről. Töltsd ki 3 perces, ingyenes felmérőnket!

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 1. 19:07

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.