IE pomaga wykorzystać lukę... w Firefoksie
W przeglądarce Mozilla Firefox 2.0 wykryto nową, krytyczną lukę, która pozwala na przejęcie kontroli nad systemem użytkownika. Co ciekawe, wykorzystanie luki jest możliwe wówczas, gdy użytkownik surfuje po sieci za pomocą... Internet Explorera.
O istnieniu luki donosi m.in. serwis Secunia, którego eksperci ocenili ją jako wysoce krytyczną (zagrożenie jest oceniane na 4 w 5-stopniowej skali). Istnienie luki potwierdzono w najnowszej wersji przeglądarki Firefox 2.0.0.4 działającej na w pełni załatanym Windowsie XP SP2. Prawdopodobnie inne wersje przeglądarki również są narażone na atak.
Luka została zlokalizowana w obsłudze protokołu firefoxurl://, który dodawany jest do systemu operacyjnego podczas instalacji przeglądarki Firefox. Dzięki niemu możliwe jest jej uruchomienie z wybranym zestawem parametrów.
Niestety cyberprzestępcy mogą skorzystać np. z parametru -chrome, aby wykonać na komputerze ofiary kod JavaScript. Do ataku może dojść w czasie przeglądania stron za pomocą Internet Explorera, a Firefox musi być jedynie zainstalowany na komputerze.
Secunia zaleca unikanie nieznanych stron do czasu rozwiązania problemu przez programistów Mozilla Corp. Window Snyder - osoba odpowiedzialna w Mozilli za bezpieczeństwo - zapewniła, że prace nad poprawką usuwającą usterkę już trwają. Nie wiadomo jednak jeszcze kiedy aktualizacja może się pojawić.
W przypadku tej luki niewątpliwie można mówić o błędzie po stronie twórców Firefoksa, ale jak zaznaczył jeden z ekspertów - Thor Larholm - również Internet Explorer nie jest całkowicie bez winy. W opinii Larholma przeglądarka Microsoftu powinna być zdolna do bezpiecznego uruchamiania zewnętrznych aplikacji. Podobnego zdania są specjaliści firmy Symantec.