Εταιρία Ασφαλείας ανέφερε δύο νέες ατέλειες στον browser Mozilla Firefox οι οποίες είναι πιθανό να αφήνουν τα τοπικά αποθηκευμένα αρχεία επιρρεπή σε εξωτερικές επιθέσεις. Και τα δύο ελαττώματα ανακοινώθηκαν την τρέχουσα εβδομάδα από την SecuriTeam, ένα τμήμα της Beyond Security.
Το πρώτο «ψεγάδι», σύμφωνα με δήλωση της SecuriTeam τη Δευτέρα, βρίσκεται στη λειτουργία απαγόρευσης αναδυόμενων παραθύρων (pop-up blocking) του Firefox. Τυπικά ο browser δεν επιτρέπει στις Ιστοσελίδες να έχουν πρόσβαση σε αρχεία που έχουν αποθηκευτεί τοπικά, όμως αυτός ο έλεγχος άδειας URL προσπερνάται όταν ο χρήστης Firefox έχει απενεργοποιήσει τα pop-up παράθυρα χειροκίνητα. Ως αποτέλεσμα, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει αυτή την ατέλεια για να κλέψει τοπικά αποθηκευμένα αρχεία και τις προσωπικές πληροφορίες που ίσως υπάρχουν μέσα σ' αυτά.
Ένα πιθανό σενάριο για μια τέτοια επίθεση προϋποθέτει να επιλέξει (click) ο χρήστης ένα κακόβουλο link που θα εγκαταστήσει κρυφά στο σκληρό δίσκο του υπολογιστή ένα αρχείο-στόχο (target file) εξοπλισμένο με κώδικα εκμετάλλευσης (exploit code). Στη συνέχεια θα εμφανίσει μια προτροπή στο χρήστη να επιτρέψει ένα pop-up για την προβολή ενός αρχείου video ή για download. Τότε το αρχείο-εισβολέας θα «φορτωθεί» χάρις στην ατέλεια του browser, δίνοντας στον εισβολέα προνόμια διαβάσματος τοπικών αρχείων.
Φαίνεται ότι η παραπάνω δυσλειτουργία ενδέχεται να παρουσιαστεί σε
Το δεύτερο ψεγάδι που ανακοινώθηκε από την SecuriTeam την Τετάρτη 7/2/2007, αφορά στη λειτουργία προστασίας «ηλεκτρονικού ψαρέματος» (phishing) του Firefox. Με αυτό το τρωτό σημείο, ένας πεπειραμένος phisher θα μπορούσε να ξεγελάσει τον browser και να τον κάνει να πιστέψει πως ένα δόλιο site είναι στην πραγματικότητα ασφαλές, προσθέτοντας κάποιους χαρακτήρες στο URL της ιστοσελίδας.
Το ψεγάδι phishing φαίνεται να εμφανίζεται στην ισχύουσα έκδοση 2.0.0.1 του Firefox.
Πηγή: CNET News
