Wykryto luki w czołowych przeglądarkach
Marcin Maj 05-06-2007, 14:42
Polski specjalista Michał "Lcamtuf" Zalewski opublikował informacje na temat czterech luk zero-day w najpopularniejszych przeglądarkach od Microsoftu i Mozilli. Za najbardziej niebezpieczną uważana jest luka dotycząca przeglądarek IE 6 oraz IE 7.
Informacje na temat luk zostały opublikowane na liście dyskusyjnej Full-disclosure, na której polski specjalista regularnie publikuje swoje spostrzeżenia. Hacker poza informacjami przygotował również demonstracje ataków.
Najbardziej niebezpieczna luka (przez Zalewskiego określona jako "krytyczna") dotyczy przeglądarki Internet Explorer 6/7. Pozwala na kradzież ciasteczek używanych przez użytkowników w czasie logowania się do serwisów internetowych. Atak jest możliwy, ponieważ kod JavaScript wykonywany w trakcie zmiany stron może działać z uprawnieniami starej strony, ale na aktualnych treściach strony nowo załadowanej. Prezentacja takiego ataku jest dostępna na stronie Michała Zalewskiego.
Dwie kolejne luki opisane przez specjalistę są zlokalizowane w Firefoksie. Pierwsza dotyczy obiektów iframe i umożliwia ich modyfikację na innej stronie. Lukę można wykorzystać w celu przechwytywania znaków wprowadzanych za pomocą klawiatury. Dla tej usterki również dostępna jest demonstracja. Co ciekawe, podobny błąd w Firefoksie był już wcześniej wykryty i załatany.
Znaczenie drugiej luki wykrytej w Firefoksie zostało ocenione przez Zalewskiego jako "średnie" (medium). Usterka pozwala atakującemu na ominięcie wprowadzonego do Firefoksa zabezpieczenia, mającego chronić przed nieuważnym kliknięciem w okno dialogowe (prezentacja ataku również jest dostępna).
Ostatnia luka dotycząca IE 6 (również o znaczeniu średnim) pozwala na sfałszowanie paska adresu. Możliwe jest dzięki temu stworzenie strony internetowej "udającej" inną, dowolną stronę, nawet dostarczającą treści przez kanał SSL (prezentacja ataku).
Zarówno przedstawiciele Mozilli jak i Microsoftu potwierdzili już, że są świadomi istnienia usterek. Rzecznik Microsoft dodatkowo poinformował, że jego firmie nie są znane żadne przypadki ataków z wykorzystaniem wspomnianych luk.
Najbardziej niebezpieczna luka (przez Zalewskiego określona jako "krytyczna") dotyczy przeglądarki Internet Explorer 6/7. Pozwala na kradzież ciasteczek używanych przez użytkowników w czasie logowania się do serwisów internetowych. Atak jest możliwy, ponieważ kod JavaScript wykonywany w trakcie zmiany stron może działać z uprawnieniami starej strony, ale na aktualnych treściach strony nowo załadowanej. Prezentacja takiego ataku jest dostępna na stronie Michała Zalewskiego.
Dwie kolejne luki opisane przez specjalistę są zlokalizowane w Firefoksie. Pierwsza dotyczy obiektów iframe i umożliwia ich modyfikację na innej stronie. Lukę można wykorzystać w celu przechwytywania znaków wprowadzanych za pomocą klawiatury. Dla tej usterki również dostępna jest demonstracja. Co ciekawe, podobny błąd w Firefoksie był już wcześniej wykryty i załatany.
Znaczenie drugiej luki wykrytej w Firefoksie zostało ocenione przez Zalewskiego jako "średnie" (medium). Usterka pozwala atakującemu na ominięcie wprowadzonego do Firefoksa zabezpieczenia, mającego chronić przed nieuważnym kliknięciem w okno dialogowe (prezentacja ataku również jest dostępna).
Ostatnia luka dotycząca IE 6 (również o znaczeniu średnim) pozwala na sfałszowanie paska adresu. Możliwe jest dzięki temu stworzenie strony internetowej "udającej" inną, dowolną stronę, nawet dostarczającą treści przez kanał SSL (prezentacja ataku).
Zarówno przedstawiciele Mozilli jak i Microsoftu potwierdzili już, że są świadomi istnienia usterek. Rzecznik Microsoft dodatkowo poinformował, że jego firmie nie są znane żadne przypadki ataków z wykorzystaniem wspomnianych luk.
Aktualności
|
Porady
|
Gościnnie
|
Katalog
Bukmacherzy
|
Sprawdź auto
|
Praca
Artykuł może w treści zawierać linki partnerów biznesowych
i afiliacyjne, dzięki którym serwis dostarcza darmowe treści.
*
Więcej w tym temacie:
« strona główna - do góry ^
Stopka
Publikacje
Nasze serwisy
Polecamy
© 1998-2024 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.