Michał Zalewski wykrył kolejną lukę w Firefoksie, która pozwala na ukrycie przed użytkownikiem prawdziwej lokalizacji strony.
Może to posłużyć do podsunięcia ofiarom witryn, które wyglądają jak prawdziwe strony banków, aukcji internetowych i różnych podobnych serwisów i wyłudzenia w ten sposób nazw i haseł użytkownika.
Jego zdaniem problem leży w sposobie w jaki Firefox radzi sobie z adresem about:blank, który pokazuje czystą stronę. Firefox nigdzie nie pokazuje, że użytkownik znajduje się na takiej właśnie stronie. About:blank może zostać otwarta również przez JavaScript i to właśnie za pomocą funkcji tego języka można załadować dodatkową zawartość na stronę. Sposób ten działa, ponieważ about:blank nie jest przypisany do żadnej domeny a document.location jest jest zdefiniowane. Wykryta luka dotyczy Firefox 1.5 oraz 2.0
Na obecną chwilę jedyną możliwością zabezpieczenia się jest wyłączenie obsługi JavaScript lub wykorzystanie wtyczki „NoScript” do Firefox, która pozwala na uruchamianie skryptów wyłącznie z zaufanych domen.
Michał Zalewski przygotował specjalną stronę, która demonstruje działanie luki.
Źródło: heise Security, ArcaBit