Polak znalazł dziurę w Firefoksie 1.5
Michał Zalewski, ceniony specjalista ds. zabezpieczeń, znalazł lukę w zabezpieczeniach przeglądarki Firefox ( w wersji 1.5.0.9 ). Problem dotyczy modułu odpowiedzialnego za blokowanie wyświetlania okienek pop-up.
Luka w zabezpieczeniach Firefoksa umożliwia uzyskanie nieautoryzowanego dostępu do dokumentów użytkownika komputera, na którym zainstalowania jest przeglądarka. Standardowo przeglądarka nie pozwala stronom internetowym na odwołania do lokalnych plików ( nie jest możliwe skorzystanie z pola file:// ) - jednak zabezpieczenie to jest omijane, jeśli użytkownik zdecyduje się na wyświetlenie zablokowane wcześniej okienko pop-up. Luka umożliwia "napastnikowi" stworzenie pliku HTML, którego wyświetlenie ( w opisanych powyżej okolicznościach ) spowoduje odczytanie i przesłanie plików zgromadzonych na lokalnym dysku.
07.02.2007 13:00
Z informacji udostępnionych przez Michała Zalewskiego wynika, że problem dotyczy jedynie Firefoksa w wersji 1.5 ( a konkretnie: 1.5.0.9 ). Udostępniona pod koniec ubiegłego roku wersja 2.0 przeglądarki jest wolna od błędu - warto jednak zauważyć, iż Firefox 1.5 wciąż jest bardzo popularny. Wedle danych serwisu http://Ranking.pl ( za ostatni tydzień stycznia 2007 r. ) z tej wersji open-source'owej przeglądarki korzysta wciąż ok. 13% polskich internautów.
Więcej informacji o problemie znaleźć można w serwisie SecurityTeam.com - http://www.securiteam.com/securitynews/5jp051fkke.html.
