[ Biztonsági rés a Firefox popup-sz?r?jében ]

Biztonsági rés a Firefox popup-sz?r?jében

  • 2007-02-08 12:09
Biztonsági szakért?k harmadik fél által kihasználható hibát találtak az egyre népszer?bb Firefox böngész? felugró ablakokat blokkoló funkciójában.

Egy speciálisan megformázott weboldal a popup-sz?r?n keresztül a felhasználó által is olvasható fájlokhoz enged hozzáférést, így akár adatvesztéssel fenyegethet. A Firefox 1.5.0.9-es verziója bizonyítottan sebezhet?, de elképzelhet?, hogy a böngész? újabb verziói is hordozzák a hibát. A sérülékenység felfedez?je, Michal Zalewski szerint a hiba a popup-kezel? URL-jogosultság kezel?jével áll kapcsolatban, mely rendes esetben megakadályozza, hogy a weboldalak a felhasználó fájlrendszeréhez hozzáférjenek, de a felbukkanó ablakok manuális engedélyezésekor ez az ellen?rzés nem m?ködik.

A hiba kihasználásával állítólag akár tetsz?leges fájl is elhelyezhet? a merevlemezre, így innent?l kezdve szinte bármilyen m?velet elvégezhet? a távoli számítógépen.
Inkább legyen hetente friss verzió ami implementálja a javításokat, mint több hónapon keresztül várni, hogy a MS elismerje és javítsa is a hibát az IE-ben. Az az 5-6MB, ami a FF böngész? mérete, pár mp (lassabb kapcsolatnál 1-2 perc) alatt lent van, és magától telepedik. Operával kapcsolatban: nem akarok vitát szítani, de nekem nem tetszik (észrevettétek, hogy a weboldalak mintha más bet?típussal vagy simítással jelennek meg Operában (nagyon hasonló mint a Linuxok alatti megjelenés), mint Windows alatt?), egyedül a levelez?jét használom, bár azon is lenne még mit javítani...
"Firefox 1.5.0.9-es verziója bizonyítottan sebezhet?"

Már ?srégen megjelent a magyar verziójú 2.0.0.1.
Ennél mi a helyzet?

Biztonsági hibák az IE-ben is voltak, talán lesznek is szép számmal.
Azért a durranás nem akkora ebben a konkrét esetben, merthogy én speciel nem engedélyezek csak úgy felbukkanó ablakot. Pláne nem bizonytalan helyeken.
A phising dologról meg annyit, hogy hiába min?síti biztonságosnak a böngész? a weboldalt, attól még nem rohanok személyes adatokat bepötyögni.
Én nem mondtam, hogy nincs benne biztonsági hiba (mert biztos, hogy van), csak nem igazán keresik, mert nem érné meg kis létszámú felhasználói tábor mellett. És nem is ez volt a mondandó, hanem az, hogy már többszörösen bizonyított - minél népszer?bb a progi, annál több biztonsági hibát találnak benne.
Hogy az Operát "kevesen" használják, nem biztonságosabb, mint bármelyik böngész?.
Én már vagy egy éve nem használom a ff-t, mert többek között kezdtem megunni, hogy szinte hetente találtak benne valami sebezhet?séget és így állandóan frissíteni kellett. Ha valaki igazán biztonságos böngész?t akar, ott van az opera, mert kevesen használják.

2007-02-08 14:57
A SecuriTeam által nyilvánosságra hozott másik sérülékenység a phising-sz?r?vel kapcsolatos: egy megfelel?en el?készített weboldallal a sz?r? átverhet?, így a felhasználó a phishing-oldalra lépve azt biztonságosnak véli. A Firefox elég könnyen átverhet? -- állítja a SecuriTeam --, mindössze néhány karaktert kell hozzáírni a weboldal címéhez. Az els? sebezhet?ség a Firefox 2.0 el?tti változatokat érintheti, a második azonban a legújabb, 2.0.0.1-es verzióan is jelen van. A Mozilla egyel?re nem reagált.
(HWSW)