„Gonosz gomb” a böngészőben

Sokan rájöttek már, hogy a böngészőben megnyitott Google.com oldal helyett kényelmesebb a Google eszköztárát, a Google Toolbart használni webes keresésre – az alkalmazás nem mellesleg a felpattanó ablakok blokkolásának lehetőségét is elhozza a felhasználók számára. Nemrég azonban kiderült, hogy egy komoly biztonsági rés tátong benne, amit egyes online támadók már ki is használnak saját céljaikra. Egy bizonyos feltételeknek megfelelő website létrehozásával ugyanis olyan gombokat lehet a böngészőbe telepíteni, melyek ártalmas tevékenység kifejtésére képesek.

A sérülékenység tulajdonképpen egy párbeszédablak hamisítási (dialog spoofing) technika, figyelmeztette a nyilvánosságot Aviv Raff, a sebezhetőségre ráakadó biztonsági kutató. Elmondása szerint az eszköztár több változata is hibás, mely hiba ismeretében a gyanútlan felhasználó rávehető, hogy általa nem ismert funkcionalitással bíró gombokat adjon a böngésző kezelőfelületéhez. A támadó úgy tüntetheti fel ezeket a kiegészítéseket, mintha megbízható website-okról származnának, holott erről szó sincs. Amennyiben az internetező alkalmazásba vett egy ilyen gombot, akkor többféleképpen is veszélynek lehet kitéve – ártalmas állományokat tölthet le, jelszóhalász támadásoknak eshet áldozatul stb.

Mind az Internet Explorer, mind a Firefox érintett, a Google Toolbar 4 verziójának használata esetén (az ötös, bétaváltozat csupán IE alatt okozhat gondot). Az amerikai keresőóriás már bejelentette, hogy dolgozik a javításon. Amíg az el nem készül, addig érdemes tartózkodni az új gombok felvételétől, ajánlotta Raff.