Chyba vo Firefoxe umožňuje prístup k lokálnym súborom

DSL.sk, 8.2.2007

V prehliadači Firefox sa nachádza bezpečnostná chyba, ktorá umožňuje útočníkovi získať prístup k lokálnym súborom na PC a zaslať ich obsah na server útočníka.

O chybe informovala bezpečnostná spoločnosť SecuriTeam.

Skripty na web stránkach majú štandardne zakázaný prístup k súborom na lokálnom PC cez protokol file://. Vďaka chybe ale je tento prístup povolený v prípade, keď užívateľ manuálne povolí otvorenie popup okna.

Zneužitie chyby je ale výrazne komplikované, keď útočník pre zaslanie obsahu súborov na lokálnom PC musí zneužiť chybu na prístup k ním podstrčenému HTML súboru na lokálnom disku.

Toto je realizovateľné na diaľku pomocou prístupu ku kópii súborov sťahovaných z webu uloženej v dočasnom adresári.

Vzhľadom na slabú implementáciu generovania náhodných názvov dočasných súborov vo Firefoxe je to ale podľa SecuriTeam technicky možné.

Skript v podstrčenom súbore následne môže prečítať obsah ľubovoľných lokálnych súborov a zaslať ich útočníkovi.

Chyba bola potvrdená vo verzii Firefox 1.5.0.9, či sa nachádza a je ju možné zneužiť aj vo verzii 2.0.0.1 nie je v súčasnosti známe.




Najnovšie články:



Diskusia:

skxami Od: skxami | Pridané: 8.2.2007 10:35 no takze v konecnom dosledku je to skor chyba teoreticka a nemusim bat o moju bezpecnost 8-) Odpovedať Hodnotiť:

lolko Od: lolko | Pridané: 8.2.2007 10:37 S Firefoxom nemaj strach. :) Odpovedať Hodnotiť:

PeCha Od: PeCha | Pridané: 8.2.2007 10:37 ja dokopy chodim na velmi malo stranok, takze toho sa nebojim, ale aktualizaciu by som privital, urcite pride skor..vsak IE hehe :D Odpovedať Hodnotiť:

Propediotika Od: Propediotika | Pridané: 8.2.2007 12:28 Ako by vyzeral asi link, na pristup k nejakemu suboru pomocou file:// ? Odpovedať Hodnotiť:

mumo Od: mumo | Pridané: 8.2.2007 13:25 file://c:autoexec.bat Odpovedať Hodnotiť:

lol Od: lol | Pridané: 8.2.2007 14:37 to skor file://c/:autoexec.bat Odpovedať Hodnotiť:

matthew Od: matthew | Pridané: 8.2.2007 20:39 a do tretice :) file:///c:/autoexec.bat Odpovedať Hodnotiť:

One Od: One | Pridané: 12.2.2007 3:35 nie nie, dve a tamto nik nema. file://c:/boot.ini Odpovedať Hodnotiť:

omg Od: omg | Pridané: 8.2.2007 13:22 och coho sa furt bojite?? aj IE je bezpecny ked nechodis po "divnych" strankach.. btw firefox SUCKS a aj cely linuX na desktopoch Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 8.2.2007 13:39 To je taka blbost ako ked povies: Nic sa ti nemoze stat ked po 20.00 nevychadzas von. Odpovedať Hodnotiť:

thriler Od: thriler | Pridané: 8.2.2007 13:40 Niektori ludia, totiz nechodia len na stranky azet,google,a dsl. Ked nieco hladas napr. cez google a vyhodi ti odkaz tak ako vies ci je ta stranka bezpecna alebo nie? Odpovedať Hodnotiť:

moja malickost Od: moja malickost | Pridané: 8.2.2007 18:54 McAfee SiteAdvisor plugin ;) Odpovedať Hodnotiť:

omg-omg Od: omg-omg | Pridané: 8.2.2007 13:41 ked dokazes nieco take vypotit tak asi jedine tvoj mozog sucks... Linux & Firefox alebo Mozilla je to najbezpecnejsie co na desktope s netom mozes mat... to ze si lamka a nevies ovladat komp ked tam nemas "okienka" vsade to uz je tvoja vec a neznehodnocuje to kvalitu OS. Odpovedať Hodnotiť:

omg2 Od: omg2 | Pridané: 8.2.2007 14:38 a MAC?:) Odpovedať Hodnotiť:

omg-omg Od: omg-omg | Pridané: 8.2.2007 14:57 Jo, na MAC som zabudol... ale MAC je v podstate UNIX/BSD, takze od Linuxu vazne nema daleko :D Odpovedať Hodnotiť:

papic Od: papic | Pridané: 9.2.2007 11:02 nerad citam prispevky o Opere,ale jedine Opera Odpovedať Hodnotiť:

Pridať komentár