Polski haker Michał Zalewski znalazł cztery nowe groźne błędy w zabezpieczeniach dwóch najpopularniejszych obecnie przeglądarek internetowych - Internet Explorera i Firefoksa. Najpoważniejsza z nich jest krytyczna luka w IE6 i IE7.
Z informacji dostarczonych przez Zalewskiego wynika, że w pełni uaktualniony Internet Explorer w wersjach 6 i 7 jest podatny na atak przeprowadzony z wykorzystaniem owego błędu. Umożliwia on uruchomienie w systemie złośliwego skryptu JavaScript - "Błąd ten sprawia, że cały system zabezpieczeń przeglądarki rozpada się jak domek z kart, czyniąc ją podatnym na całą gamę różnych typów ataków" - tłumaczy Michał Zalewski.
W Firefoksie 2.0 znajduje się z kolei poważny błąd (związany z obsługą znacznika Iframe), który umożliwia atakującemu wykradanie znaków wprowadzanych za pomocą klawiatury oraz umieszczenie niebezpiecznej zawartości na pozornie bezpiecznej stronie. Podobny problem znaleziono w open-source'owej przeglądarce kilka tygodni temu - Mozilla załatała go, ale najwyraźniej nie do końca.
Trzecia luka również dotyczy Firefoksa - pozwala ona atakującemu na zmuszenie przeglądarki do pobrania niebezpiecznego pliku. Ostatni problem dotyczy IE6 - pozwala on na zmuszenie przeglądarki do wyświetlenia na pasku innego adresu WWW niż odwiedzana aktualnie strona (błąd nie występuje w IE7).
Przedstawiciele Mozilli poinformowali, że wiedzą już o błędach w Firefoksie i wkrótce podejmą stosowne działania. Microsoft wciąż bada doniesienia o lukach - po zakończeniu dochodzenia firma przygotuje odpowiednie uaktualnienia.
Z informacji dostarczonych przez Zalewskiego wynika, że w pełni uaktualniony Internet Explorer w wersjach 6 i 7 jest podatny na atak przeprowadzony z wykorzystaniem owego błędu. Umożliwia on uruchomienie w systemie złośliwego skryptu JavaScript - "Błąd ten sprawia, że cały system zabezpieczeń przeglądarki rozpada się jak domek z kart, czyniąc ją podatnym na całą gamę różnych typów ataków" - tłumaczy Michał Zalewski.
W Firefoksie 2.0 znajduje się z kolei poważny błąd (związany z obsługą znacznika Iframe), który umożliwia atakującemu wykradanie znaków wprowadzanych za pomocą klawiatury oraz umieszczenie niebezpiecznej zawartości na pozornie bezpiecznej stronie. Podobny problem znaleziono w open-source'owej przeglądarce kilka tygodni temu - Mozilla załatała go, ale najwyraźniej nie do końca.
Trzecia luka również dotyczy Firefoksa - pozwala ona atakującemu na zmuszenie przeglądarki do pobrania niebezpiecznego pliku. Ostatni problem dotyczy IE6 - pozwala on na zmuszenie przeglądarki do wyświetlenia na pasku innego adresu WWW niż odwiedzana aktualnie strona (błąd nie występuje w IE7).
Przedstawiciele Mozilli poinformowali, że wiedzą już o błędach w Firefoksie i wkrótce podejmą stosowne działania. Microsoft wciąż bada doniesienia o lukach - po zakończeniu dochodzenia firma przygotuje odpowiednie uaktualnienia.
źródło:pcworld.pl
