Poważny błąd w Firefoksie i IE
W najnowszych wersjach dwóch najpopularniejszych obecnie przeglądarek Internetowych - Firefoksa oraz Internet Explorera - wykryto błędy, umożliwiające nieautoryzowanym użytkownikom uzyskanie dostępu do danych zapisanych na twardym dysku komputera. Luki w zabezpieczeniach przeglądarek odkrył polski haker, Michał Zalewski.
W obydwu przypadkach problem związany jest z funkcją umożliwiającą przeglądarce przesłanie plików na zdalny serwer. Luki w FF i IE umożliwiają stworzenie strony WWW, za pośrednictwem której zdalny "napastnik" będzie mógł uzyskać dostęp do plików zgromadzonych na lokalnym dysku - wystarczy, iż "ofiara" wpisze w dostępnym na owej stronie polu formularza ( np. oknie do edycji komentarza ) odpowiedni ciąg znaków.
Na stronie Michała Zalewskiego znaleźć można dwa przykłady, prezentujące jak może zostać wykorzystany ów błąd - pierwszy przeznaczony jest dla użytkowników Firefoksa - http://lcamtuf.coredump.cx/focusbug/ffversion.html , drugi - IE - http://lcamtuf.coredump.cx/focusbug/ieversion.html. Wpisanie na owych stronach zasugerowanego przez M. Zalewskiego tekstu spowoduje wyświetlenie zawartości pliku boot.ini.
Problem dotyczy przeglądarki Firefox w wersji 2.0 i 1.5 ( zarówno dla systemu Windows, jak i Linux ) oraz Internet Explorera 6 i 7. Producenci przeglądarek zostali już poinformowani o problemie - Microsoft wstępnie potwierdził występowanie luki w zabezpieczeniach.
Więcej informacji znaleźć można na stronie Michała Zalewskiego - http://lcamtuf.coredump.cx/focusbug/description.txt. Warto przypomnieć, że kilka dni temu M. Zalewski znalazł inną lukę w zabezpieczeniach Firefoksa ( wersji 1.5 ) - pisaliśmy o tym w tekście "Polak znalazł dziurę w Firefoksie 1.5" - http://www.pcworld.pl/news/106234.html .