Hibák a Firefoxban

Mindkét sebezhetőséget a SecuriTeam nevű szervezet fedezte fel. Az első hiba a böngésző felpattanó ablakokat blokkoló funkciójában rejlik. A browser jellemzően nem engedi meg a website-oknak, hogy hozzáérjenek a helyileg tárolt állományokhoz, de ez az URL-tiltó ellenőrzés eltűnik, ha egy Firefox (letöltés itt) felhasználó manuálisan kikapcsolja a popup blokkolást. Ennek eredményeként egy támadó a hiba kiaknázásához szükséges ismeretek birtokában helyi file-okat másolhat el, olyan információkat szerezhet meg, melyeket tulajdonosaik nem akartak nyilvánossá tenni.

A legtöbb internetező azonban nem kapcsolja ki a felpattanó ablakok tiltását, hogyan jelenthet ez a fenyegetés mégis valós veszélyt? Úgy, hogy egy leleményes támadás során, amikor a felhasználó egy ártalmas linkre kattint, egy file felmásolásra kerül a számítógép merevlemezére. Ezt követően arra hívják fel az internetező figyelmét, hogy a kívánt videó lejátszásához, állomány letöltéséhez stb. tiltsa le a felpattanó ablakok blokkolását. Ha ennek a kérésnek bedől a felhasználó – és miért ne tenné -, akkor a korábban bejuttatott file és a böngészőhiba révén a támadó máris hozzáférhet a helyi állományokhoz.

Tegnap ismertette a SecuriTeam a második Firefox hibát, mely az alternatív browser phishing védelmi képességeiben rejlik. Egy, a megfelelő ismeretekkel rendelkező behatoló megzavarhatja a böngészőt oly módon, hogy az egy csaló weboldalt biztonságosnak hisz. Ehhez pedig csak néhány karaktert kell website-jának URL-jéhez hozzáadnia.

Az első sérülékenység a 2.0-s változatoknál korábbi Firefoxokat érinti csupán, a második sebezhetőség azonban a legújabb, 2.0.0.1-es Tűzrókát használókat is fenyegeti. Ennél újabb változat pedig – a korábbi ígéretek ellenére – nincs.