Szerző: Bodnár Ádám

2008. január 4. 10:42

Kritikus sebezhetőség a legújabb Firefoxban?

Komoly biztonsági sérülékenységet fedezett fel a Firefox legújabb verziójába Aviva Raff izraeli biztonsági szakértő. A résen keresztül jelszavak kerülhetnek illetéktelen kezekbe.

[HWSW] Komoly biztonsági sérülékenységet fedezett fel a Firefox legújabb verziójába Aviva Raff izraeli biztonsági szakértő. A résen keresztül jelszavak kerülhetnek illetéktelen kezekbe.

Raff szerint a Firefox 2.0.0.11 -- és korábbi 2.x változatok is -- hitelesítési rutinja kijátszható egy megfelelően preparált weboldal segítségével, ami által a felhasználókat rá lehet venni hogy érzékeny felhasználói neveket és jelszavakat adjanak ki. Egy scripttel a támadók megváltoztathatják a dialógusablak szövegét, azt a látszatot keltve, hogy az egy másik weboldalhoz tartozik -- természetesen a beírt adatok a támadók saját szerverén kötnek ki.

Raff a weboldalán egy videóban be is mutatja a sebezhetőség kihasználását, szerencsére azonban példakódot vagy más, potenciálisan ártalmas információt nem hozott nyilvánosságra, mindazonáltal azt javasolja a Firefox-felhasználóknak, hogy ne adjanak meg felhasználói nevet és jelszavat azokon az oldalakon, ahol a videóban is látható dialógusablak ugrik fel. A Mozilla biztonsági főnöke, Window Snyder szerint vizsgálják Raff állítását.

A Firefoxot tavaly december elején frissítették utoljára, ekkor jelent meg a 2.0.0.11 verzió, ami a 2.0.0.10 patch javítása volt. A 2.0.0.10-ben három biztonsági rést foltoztak be, de közben egy új keletkezett. Hasonló eset történt a 2.0.0.9-es patch esetén is, ami a 2.0.0.8-as biztonsági frissítésben maradt megjelenítési hibákat szüntette meg.

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

a címlapról

Hirdetés

Ollé, lesz SYSADMINDAY!

2025. július 7. 00:25

Duna melletti szabadtéri helyszínen, a Budapest Gardenben idén is megrendezzük a hazai Sysadmindayt, az IT-üzemeltetők világnapját. Standup, IT security meetup, kvízek, szakmázás, barátok, még több sörcsap.

SEMMI

8

Bemutatkozott a Nothing első igazi csúcsmobilja

2025. július 3. 11:59

A prémium modellnek szánt Nothing Phone 3 legegyedibb vonása a hátlapon található Glyph Matrix, amivel a tervezők célja a főképernyő előtt töltött idő csökkentése.