Naciśnij ESC aby zamknąć

Kolejny błąd w Firefoksie

Michał Zalewski wykrył kolejną lukę w Firefoksie, która pozwala na ukrycie przed użytkownikiem prawdziwej lokalizacji strony.

Może to posłużyć do podsunięcia ofiarom witryn, które wyglądają jak prawdziwe strony banków, aukcji internetowych i różnych podobnych serwisów i wyłudzenia w ten sposób nazw i haseł użytkownika.

Jego zdaniem problem leży w sposobie w jaki Firefox radzi sobie z adresem about:blank, który pokazuje czystą stronę. Firefox nigdzie nie pokazuje, że użytkownik znajduje się na takiej właśnie stronie. About:blank może zostać otwarta również przez JavaScript i to właśnie za pomocą funkcji tego języka można załadować dodatkową zawartość na stronę. Sposób ten działa, ponieważ about:blank nie jest przypisany do żadnej domeny a document.location jest jest zdefiniowane. Wykryta luka dotyczy Firefox 1.5 oraz 2.0

Na obecną chwilę jedyną możliwością zabezpieczenia się jest wyłączenie obsługi JavaScript lub wykorzystanie wtyczki „NoScript” do Firefox, która pozwala na uruchamianie skryptów wyłącznie z zaufanych domen.

Michał Zalewski przygotował specjalną stronę, która demonstruje działanie luki.

Źródło: heise Security, ArcaBit

Redakcja

Nasz zespół składa się z doświadczonych ekspertów w dziedzinie bezpieczeństwa informatycznego i najnowszych trendów technologicznych. Nasi autorzy posiadają wieloletnie doświadczenie zarówno w sektorze komercyjnym, jak i akademickim, co pozwala im na głębokie zrozumienie i analizę dynamicznie zmieniającego się świata technologii. Jako grupa specjalistów dostarczamy rzetelne i aktualne informacje, analizy oraz poradniki z zakresu bezpieczeństwa IT i innowacji technologicznych. Nasze artykuły opierają się na dogłębnym badaniu tematu, wsparte doświadczeniem naszych ekspertów. Stawiamy na edukację czytelników, pomagając im zrozumieć skomplikowane zagadnienia technologiczne i zachować bezpieczeństwo w cyfrowym świecie. Naszym celem jest dostarczanie precyzyjnych i aktualnych informacji, które wspierają zarówno profesjonalistów IT, jak i zwykłych użytkowników w zrozumieniu i adaptacji do szybko zmieniającego się świata technologii. Zależy nam na promowaniu kultury bezpieczeństwa i świadomości cyfrowej w społeczeństwie.