Szerző: Bodnár Ádám

2007. február 8. 09:47

Két biztonsági rést találtak a Mozilla Firefoxban

Két biztonsági rést fedeztek fel a Mozilla Firefoxban, amelyeket kihasználva támadók hozzáférhetnek az áldozat gépén tárolt állományokhoz, így akár bizalmas személyes vagy banki adatokhoz is hozzájuthatnak. Ironikus módon mindkét sebezhetőség a Firefox biztonsági szolgáltatásait érinti, az egyik a felugró ablakok kezelésével, a másik pedig az adathalász-támadások elleni védelemmel kapcsolatos.

[HWSW] Két biztonsági rést fedeztek fel a Mozilla Firefoxban, amelyeket kihasználva támadók hozzáférhetnek az áldozat gépén tárolt állományokhoz, így akár bizalmas személyes vagy banki adatokhoz is hozzájuthatnak. Ironikus módon mindkét sebezhetőség a Firefox biztonsági szolgáltatásait érinti, az egyik a felugró ablakok kezelésével, a másik pedig az adathalász-támadások elleni védelemmel kapcsolatos.

A Firefox alapesetben nem engedélyezi a weboldalak számára a helyben tárolt állományokhoz való hozzáférést, azonban a felugró ablakok kezelésével kapcsolatos rutin hibáját kihasználva támadók mégis elérhetik azokat, olvashatják őket, miáltal akár bizalmas személyes adatokhoz is hozzájuthatnak. A támadóknak nincs más dolga mint létrehozni egy weboldalat egy speciális kóddal, majd ideirányítani a felhasználót és rávenni arra, hogy kapcsolja ki a pop-up ablakokat blokkoló funkciót és máris hozzáférhetnek a gépen tárolt fájlokhoz.

A SecuriTeam által nyilvánosságra hozott másik sérülékenység a phising-szűrővel kapcsolatos: egy megfelelően előkészített weboldallal a szűrő átverhető, így a felhasználó a phishing-oldalra lépve azt biztonságosnak véli. A Firefox elég könnyen átverhető -- állítja a SecuriTeam --, mindössze néhány karaktert kell hozzáírni a weboldal címéhez. Az első sebezhetőség a Firefox 2.0 előtti változatokat érintheti, a második azonban a legújabb, 2.0.0.1-es verzióan is jelen van. A Mozilla egyelőre nem reagált.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról