Главният ръководител по сигурността е потвърдил уязвимостта, която може да позволи на напълно патчнати версии на Firefox да разкриват личната информация на потребителите.
Потвърждението, изнесено от Mozilla Window Snyder, е на базата на публикуваното на код от изследователя Гери Айзенхауър. Бъгът е свързан с протокола на цветовата схема и позволява разкриване на информация от директориите, когато определен тип допълнения са инсталирани. Нападателите могат да използват това, за да проверяват дали определени програми или файлове съществуват на машината, взимайки информация, която може да бъде използвана за злонамерено експлоатиране на машината.
Обикновено пакетът с цветовите схеми на браузъра е ограничен до определен брой директории, но бъгът има проблем с начина, по който засича "escape" последователностите (като напр. %2e%2e%2f) и позволява на нападателите достъп до информацията на компютъра. Експлойтът работи само ако потребителят се е възползвал от допълненията на FireFox, които са "плоски", т.е. тези, които не пакетират своите файлове в .jar архив. Примери за такива допълнения са Download Statusbar и Greasemonkey. Екипът на Mozilla е оценил риска от бъга с "нормална" степен и работи по оправянето му. През това време потребителите на Firefox могат да се защитят като използват NoScript допълнението. Докато атакуващ уебсайт не е добавен към списъка на потребителя с доверени сайтове, допълнението би трябвало да предотврати атаките.
Източник: www.notrial.info
Добави коментар за тази статия
Добави коментар за статията (Покажи/Скрий Бланката)
Коментари от потребителите
Към този момент няма добавени коментари за тази статия....
|
Новини 
