Δύο τρύπες στον Firefox

[Xenios]

Εταιρία Ασφαλείας ανέφερε δύο νέες ατέλειες στον browser Mozilla Firefox οι οποίες είναι πιθανό να αφήνουν τα τοπικά αποθηκευμένα αρχεία επιρρεπή σε εξωτερικές επιθέσεις. Και τα δύο ελαττώματα ανακοινώθηκαν την τρέχουσα εβδομάδα από την SecuriTeam, ένα τμήμα της Beyond Security.

Το πρώτο «ψεγάδι», σύμφωνα με δήλωση της SecuriTeam τη Δευτέρα, βρίσκεται στη λειτουργία απαγόρευσης αναδυόμενων παραθύρων (pop-up blocking) του Firefox. Τυπικά ο browser δεν επιτρέπει στις Ιστοσελίδες να έχουν πρόσβαση σε αρχεία που έχουν αποθηκευτεί τοπικά, όμως αυτός ο έλεγχος άδειας URL προσπερνάται όταν ο χρήστης Firefox έχει απενεργοποιήσει τα pop-up παράθυρα χειροκίνητα. Ως αποτέλεσμα, ένας εισβολέας θα μπορούσε να χρησιμοποιήσει αυτή την ατέλεια για να κλέψει τοπικά αποθηκευμένα αρχεία και τις προσωπικές πληροφορίες που ίσως υπάρχουν μέσα σ' αυτά.

Ένα πιθανό σενάριο για μια τέτοια επίθεση προϋποθέτει να επιλέξει (click) ο χρήστης ένα κακόβουλο link που θα εγκαταστήσει κρυφά στο σκληρό δίσκο του υπολογιστή ένα αρχείο-στόχο (target file) εξοπλισμένο με κώδικα εκμετάλλευσης (exploit code). Στη συνέχεια θα εμφανίσει μια προτροπή στο χρήστη να επιτρέψει ένα pop-up για την προβολή ενός αρχείου video ή για download. Τότε το αρχείο-εισβολέας θα «φορτωθεί» χάρις στην ατέλεια του browser, δίνοντας στον εισβολέα προνόμια διαβάσματος τοπικών αρχείων.

Περισσότερα στο Cnet
Πηγή : adslgr

[Diamond]

Δηλαδή η τρύπα στον Firefox πρακτικά είναι η ηλιθιότητα του χρήστη ο οποίος
1) Έχει απενεργοποιήσει τον pop up blocker
2) Δεν έχει αντιβιοτικό
3) Έχει απενεργοποιήσει το firewall
4) Κάνει click σε ηλίθια popup παραθυράκια

[JackPros]

Ακριβώς αυτό που είπε ο Diamond...
Πλέον έχουμε φτάσει σε σημείο το software που έχουμε να είναι ασφαλές, αλλά η κυριότερη, μεγαλύτερη, και σχεδόν αδύνατον να κλείσει τρύπα, είναι οι ίδιοι οι χρήστες.