Szerző: Ady Krisztián

2007. February 19. 15:33:29

Adathalászatot segítő sütikezelési hiba maradt a Firefox legújabb változatában

[eWeek] Egy nemrég felfedezett -- elméletileg befoltozott, valójában azonban a legújabb, 2.0.0.1-es változatban is megtalálható -- sütikezelési hibát kell kijavítaniuk gyorsan a Mozilla Alapítvány fejlesztőinek. A Michal Zalewski által felfedezett hibát szerencsére még nem használta fel senki adathalász támadása során: a biztonsági rés egy megfelelően konfigurált weboldalon keresztül hozzáférést biztosít más weboldalak által elhelyezett sütikhez, látogatóazonosító cookie-khoz.

[eWeek] Egy nemrég felfedezett -- elméletileg befoltozott, valójában azonban a legújabb, 2.0.0.1-es változatban is megtalálható -- sütikezelési hibát kell kijavítaniuk gyorsan a Mozilla Alapítvány fejlesztőinek. A Michal Zalewski által felfedezett hibát szerencsére még nem használta fel senki adathalász támadása során: a biztonsági rés egy megfelelően konfigurált weboldalon keresztül hozzáférést biztosít más weboldalak által elhelyezett sütikhez, látogatóazonosító cookie-khoz.

Ezt a hibát adathalász támadások esetén arra lehet felhasználni, arra, hogy a hamis weboldal minél inkább megfeleljen a valódinak. Akár az eredeti weboldal által elhelyezett cookie-t is felhasználhatják a támadók az automatikus bejelentkezéhez, vagy egyes adatok kitöltésére. Határt csak az eredeti weboldal üzemeltetője szabhat azzal, hogy mennyi adatot tárol el a felhasználónál a sütiben.

A hiba a legújabb, 2.0.0.1-es változatban is megtalálható, noha azt kijavítottnak jelölte a Mozilla. A szervezet biztonsági vezetője, Window Snyder szerint a biztonsági rést a következő, 2.0.0.2-es változatban foltozzák be. A Firefox webböngészőben az automatikus frissítési szolgáltatás azonnal felkínálja a frissítést, amennyiben azt a Mozilla elérhetővé teszi.

a címlapról