Dwie dziury w Firefoksie
W przeglądarce Firefox odkryto ostatnio dwa nowe błędy związane z bezpieczeństwem danych użytkownika tego programu. Umożliwiają one przeprowadzenie zdalnego ataku oraz kradzież danych ofiary – poinformował serwis ZDNet za SecuriTeam. Aktualizacja: Przeglądarka Opera również zawiera jeden z wykrytych błędów, pisze serwis PC World Komputer.
Pierwszy ze wspomnianych błędów dotyczy systemu blokującego wyskakujące okienka pop-up, najprawdopodobniej tylko w starszych wersjach Firefoksa, poniżej wersji 2.0. Wykorzystanie tej nieprawidłowości umożliwia dostęp i kradzież plików zgromadzonych na komputerze ofiary.
Zdaniem odkrywcy błędu, Michała Zalewskiego, atak jest możliwy, ale przy dosyć aktywnym współudziale ofiary. Oznacza to, że należy ją wpierw zachęcić do kliknięcia w odnośnik kierujący na odpowiednio przygotowaną stronę, gdzie ponownie musi zaakceptować uruchomienie wyskakującego okienka pop-up, by uruchomić lub pobrać na komputer złośliwy plik.
Dopiero wtedy potencjalny przestępca będzie miał możliwość przeprowadzenia pełnego ataku, czyli dzięki dziurze w przeglądarce uzyska prawo do odczytywania lokalnych plików – czytamy na SecuriTeam.
Drugi błąd, odkryty przez Kanedaaa – polskiego specjalistę od zabezpieczeń programów, dotyczy możliwości obejścia systemu antyphishingowego przeglądarki Firefox w wersji 2.0.0.1 dla systemów Windows i Linux. Błąd ten wydaje się stwarzać większe zagrożenie i nie wymaga od użytkownika tak złożonej interakcji, jak w powyższym przypadku.
Zabezpieczenia przed phishingiem w przeglądarkach mają za zadanie ostrzegać użytkownika przed podejrzanymi stronami, które podszywają sie pod witryny, głównie instytucji finansowych, by przejąć prywatne dane tej osoby. W przypadku wykrycia wejścia na tego typu stronę Firefox wysyła swojemu użytkownikowi ostrzeżenie i przekierowuje go do wyszukiwarki, by samodzielnie znalazł on pożądany serwis.
Jak pisze na swojej stronie Kanedaaa, możliwe jest oszukanie systemu zabezpieczeń Firefoksa poprzez dodanie kilku znaków do adresu URL fałszywej strony. Adres taki będzie nadal działał prawidłowo (czyli na korzyść przestępcy), ale nie zostanie rozpoznany jako niebezpieczny przez system antyphishingowy tej przeglądarki, a zatem nie spowoduje wyświetlenia ostrzeżenia jej użytkownikowi.
Mozilla została w drugiej połowie stycznia poinformowana o tej nieprawidłowości w działaniu Firefoksa.
Użytkownicy Firefoksa, jak i każdej innej przeglądarki, powinni ostrożnie podchodzić do odnośników przesyłanych im w komunikatorach, na e-mail, a także podstawianych na różnych stronach. Warto też z dużą rezerwą podchodzić do wyskakujących okienek, które nie tylko obchodzą systemy blokujące pop-upy, ale również tych, w których internauci proszeni są o wykonanie jakiejś dodatkowej czynności, prócz zapoznania się z dostarczaną w ramach okienka informacją.
W przypadku nachalnie wyskakujących pop-upów w przeglądarkach (pomimo uaktywnionych zabezpieczeń przed nimi), zamiast klikać w popularny krzyżyk, najbezpieczniej zamykać je kombinacją klawiszy ctrl + f4, która powoduje zamknięcie aktywnej karty. Z kolei kombinacja alt + f4 zamyka aktywne okno aplikacji.
Jak informuje PC World Komputer, pierwszy ze wspomnianych błędów dotyczy również przeglądarek Opera 9.1 oraz Firefox 2.0. W trakcie testów redakcji PCWK udało się przeprowadzić atak (zdalne przeglądanie zawartości dysku twardego komputera przez osobę nieuprawnioną) na wspomnianych programach pracujących pod kontrolą systemów Windows XP oraz Windows Vista.
Warto jeszcze raz zauważyć, że atak jest możliwy tylko przy współudziale ofiary, która musi wykonać kilka czynności, by przestępca uzyskał dostęp do danych na komputerze.