Javítatlan hiba a Firefoxban

Még a múlt héten jelentette be a dán, IT-biztonsággal foglalkozó Secunia, hogy a Mozilla Firefox 1.0 sebezhetőnek bizonyult egy olyan támadás ellen, melyben az internetezőt megpróbálják becsapni. Egy támadó ugyanis a megfelelő tudás birtokában képessé válhat arra, hogy meghamisítson egy URL-t egy felpattanó, letöltésre vonatkozó párbeszédablakban, amikor egy Firefox felhasználó megpróbál letölteni egy file-t (például egy programot) egy website-ról. Ennek az lehet a következménye, hogy a párbeszédablakban helytelenül jelennek meg a hosszú aldomainek és elérési útvonalak, amivel elérhető az internetező félretájékoztatása.

Mikko Hyppönen, a finn F-secure antivírus termékekkel foglalkozó cég igazgatója szerint ez a hiba a Firefox felhasználókat kiszolgáltathatja a cyberbűnözőknek. „A hiba kihasználásának legvalószínűbb módja egy phishingre alapuló becsapás lehet.” – mondta Hyppönen. Persze az kizárt, hogy biztonságos, bejáratott oldalakon (mint például a Terminal.hu-n) megjelennek ilyen elemek, efajta támadás inkább e-mailben érkezik. Amennyiben egy gyanútlan internetező rákattint egy elektronikus levélben megadott linkre, ami már egy hamis weboldalra vezet, s ott rákattint például egy szoftver letöltésére (amely szintén hamis hivatkozást tár a felhasználó elé), máris megtörtént a baj.

Ami csökkenti a hiba széleskörű elterjedésének valószínűségét, az az, hogy a phishinget előnyben részesítő internetes csalók még mindig az Internet Explorer használóira utaznak, mivel a Microsoft fejlesztette böngésző jelenleg is 90 százalék körüli részesedéssel rendelkezik az internetezők körében. Ezt a véleményt David Emm, az orosz Kaspersky Lab egyik vezető technológiai tanácsadója fogalmazta meg nyilvánosan: „Nem tartom valószínűnek, hogy a hackerek rohannának kiaknázni ezt a sebezhetőséget. A Firefoxnak ugyanis sokkal kisebb [felhasználói] bázisa van, mint az IE-nek, és a hackerek továbbra is ez utóbbinak szentelnek nagyobb figyelmet.”

A sérülékenység a következő verziókat érinti: Mozilla 1.7.3 for Linux, Mozilla 1.7.5 for Windows, Mozilla Firefox 1.0. Jelenleg a hibára még nem létezik javítás, de a fejlesztők ígérete szerint a böngészők következő változatai már nem fogják tartalmazni a sebezhetőséget.