Błąd JavaScript w wielu przeglądarkach internetowych

Microsoft i Mozilla ogłosiły odnalezienie kolejnego błędu w swoich przeglądarkach, umożliwiający atakującemu przechwycanie plików. Błąd jest jednak na tyle trudny do eksploitacji że poziom ryzyka powodzenia ataku ustalony został jako bardzo niski.

Internet Explorer, Firefox oraz Mozilla podatne są na błędy związane z działaniem JavaScript, poinformowali w tym tygodniu specjaliści ds. bezpieczeństwa. Atakujący posiada możliwość uruchomienia odpowiednio spreparowanego mechanizmu do uploadu plików, narażającego ofiarę na utratę poufnych informacji. Eksploitacja luki wymaga dużej interakcji od strony atakowanego stąd błąd uznany został za mało groźny i z wydaniem aktualizacji nie trzeba się śpieszyć.

?Podatność przeglądarek nie daje możliwości uruchomienia żadnego kodu przeciwko użytkownikowi maszyny atakowanej, wymaga natomiast jego znacznej interakcji, która skutkować może utratą poufnych informacji. Microsoft planuje wprowadzenie poprawionej części kodu dła własnej przeglądarki od następnej wersji Internet Explorer.? poinformował przedstawiciel Microsoft.

Luka związana jest z JavaScript a dokładnie ze zdarzeniami 'OnKeydown'. Atakujący może umiejętnie przygotować stronę internetową tak, aby zrzucała klawisze wciskane na klawiaturze do okna dialogowego uploadu plików, poinformował Symantec. Udany atak wymaga podania przez ofiarę dokładnej ścieżki do pliku, którym zainteresowany jest atakujący. Zachodzi brak jakiejkolwiek ingerencji atakującego w atak i dobór interesujących go zasobów, poza przechwyceniem danych błędem 'OnKeydown'.

Microsoft zaznaczył że nie znaleziono kodu exploita na opisywaną lukę uważaną za dość nietypową, gdyż podatność przypada na wiele najnowszych wersji następujących przeglądarek ? Firefox, Mozilla SeaMonkey, Mozilla Suite, Netscape and Microsoft Internet Explorer, informuje Secunia. Specjaliści bezpieczeństwa IT zalecają rozwagę oraz szczególną uważność przy wprowadzaniu danych na podejrzanych stronach internetowych. Rozwiązaniem może być też wyłączenie JavaScript.

Źródło: CNET

Realizacja: SIPLEX Studio