Firefox zagrożony przez QuickPlayera

Petko Petkov, specjalista ds. bezpieczeństwa, zwraca uwagę na lukę, dzięki której cyberprzestępcy mogą zaatakować Firefoksa za pośrednictwem odtwarzacza QuickTime. Podsunięcie użytkownikowi odpowiednio spreparowanego pliku QuickTime prowadzi do wykonania na prawach administratora dowolnego skryptu JavaScript w przeglądarce Firefox lub do uruchomienia programów na komputerze. Aby atak się udał Firefox musi być skonfigurowany jako domyślna przeglądarka, a na komputerze musi być zainstalowany QuickTime. Taka konfiguracja jest bardzo często spotykana.

Problem leży w sposobie przetwarzania plików z odnośnikami do QuickTime'a (.qtl) przez plugin w Firefoksie. W plikach często zawarte są instrukcje, które odtwarzacz QuickTime wykonuje, nawet jeśli w rzeczywistości link prowadzi do plików, które mają inne rozszerzenia, ale są skojarzone z QuickTime'm, takich jak np. .mov czy .mp3.

Jeśli cyberprzestępca wykorzysta w pliku .qtl parametr qtnext, będzie w stanie wykonać w przeglądarce każdy kod JavaScript. Dodanie do tego komendy -chrome spowoduje, że kod JavaScript zyska dostęp do innych zasobów komputera.

Petkov informuje, że w ten sposób cyberprzestępca może zainstalować dowolny składnik przeglądarki, np. konia trojańskiego, który otworzy tyle drzwi do systemu. Jeśli użytkownik, którego zaatakowano, ma uprawnienia administratora, przestępca zyskuje dostęp do samego systemu operacyjnego.

Wiadomo, że na atak podatne są Firefox 2.0.0.6 i QuickTime 7.2.0.240 zainstalowane na systemie Windows XP z Service Packiem 2.

Przed atakiem prawdopodobnie chroni wtyczka NoScript.

Źródło: ArcaBit

Realizacja: SIPLEX Studio