Użytkownikom przeglądarek zagraża... funkcja autouzupełniania

22-07-2010, 14:00

O luce w mechanizmie autouzupełniania przeglądarki Safari firma Apple została poinformowana ponad miesiąc temu. Jej odkrywca - Jeremiah Grossman, CTO firmy White Hat Security - nie doczekał się żadnej odpowiedzi, postanowił więc ujawnić szczegóły ataku na konferencji Black Hat, która w przyszłym tygodniu odbędzie się w Las Vegas. Podobny błąd ma występować również w innych przeglądarkach: Internet Explorerze, Firefoksie i Google Chrome.

- Ujawnienie przez Grossmana luki w przeglądarkach przypomina sytuację, jaka miała miejsce w połowie czerwca 2010 roku, kiedy pracownik Google, Tavis Ormandy, ujawnił lukę w systemie Windows komentuje Łukasz Nowatkowski z G Data Software. - W obu wypadkach powiadomiono odpowiednie firmy, lecz nie podjęły one niezbędnych działań zaradczych. Zarówno Tavis, jak i Grossman postanowili sami nagłośnić sprawę w nadziei na zmianę stanowiska firm. Z jednej strony jest to działanie kontrowersyjne, gdyż daje cyberprzestępcom wiedzę potrzebną do przeprowadzania ataków, przynajmniej do czasu załatania dziur przez producentów oprogramowania. Z drugiej strony można ich zrozumieć, ponieważ tylko tak mogą sprawić, by duże firmy w końcu podniosły bezpieczeństwo swoich produktów.

>> Czytaj także: Secunia: Apple ma najbardziej dziurawe oprogramowanie

Wykład pt. „Breaking Browsers: Hacking Auto-Complete” zostanie wygłoszony w drugim dniu konferencji, 29 lipca. Z dostępnych już teraz informacji wynika, że aby doszło do ataku, internauta musi odwiedzić specjalnie speparowaną stronę WWW. Cyberprzestępcy mogą wykorzystać funkcję przeglądarek odpowiedzialną za automatyczne uzupełnianie pól formularza.

Podpięty do danej witryny kod, napisany w języku JavaScript, może pobrać dane użytkownika z przeglądarki i uzupełnić wyświetlony formularz bez jakiejkolwiek interakcji ze strony nieświadomego internauty. Co więcej, poprzez zmianę ustawień twórca witryny może sprawić, że formularz oraz wpisywane do niego informacje pozostaną niewidzialne dla oka użytkownika, co jeszcze bardziej utrudni wykrycie ataku.

>> Czytaj także: Jak z sukcesem zaatakować miliony domowych routerów

Podatne są na niego przede wszystkim Safari 4 i 5 oraz Internet Explorer 6 i 7. Jak w rozmowie z serwisem The Register podaje Grossman, w połączeniu z cross-site scriptingiem podobne manipulacje można przeprowadzić także w Firefoksie i Google Chrome.


Następny artykuł » zamknij

Wymieniaj gry z Gametrade

Źródło: G Data Software, The Register, Dziennik Internautów
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy