Najnowsza wersja przeglądarki Firefox oraz prawdopodobnie także wcześniejsze wersje zawierają dwie krytyczne - zdaniem Secunia.com oraz FrSIRT.com - dziury, które mogą zostać wykorzystane do przejęcia kontroli nad systemem użytkownika.
Wykryte kilka dni temu błędy umożliwiają przeprowadzenie ataku typu XCC (cross-site scripting), na odpowiednio przygotowanej stronie internetowej.
Wystarczy umieścić w kodzie strony odpowiedni skrypt wykorzystujący zarówno nieodpowiednią weryfikację parametru "IconURL" jak i niewłaściwe zabezpieczenia adresów URL.
Pierwszy z błędów umożliwia "oszukanie" przeglądarki, że dany kod został wywołany przez jedną ze stron znajdujących się na "białej liście" witryn, z których Firefox dopuszcza bezpośrednią instalację oprogramowania.
Drugi błąd umożliwia obejście zabezpieczeń sprawdzenia adresów URL zawierających kod JavaScript.
Do uruchomienia wykonywalnego pliku, który może zagrozić bezpieczeństwu naszego systemu trzeba tylko kliknąć w dowolnym miejscu na odpowiednio spreparowanej stronie lub wiadomości email. Exploity na wykryte dziury są już dostępne w sieci.
Mozilla Foundation na razie częściowo zapobiegła wykorzystaniu publicznie dostępnych exploitów, poprzez wprowadzenie kilku zmian w kodzie stron, które domyślnie znajdują się na wspomnianej "białej liście" i przenosząc te strony pod inne domeny.
Jeśli ktoś dodawał jeszcze inne strony do "białej listy", powinien wyłączyć obsługę JavaScript w Firefox do czasu opublikowania stosownych zabezpieczeń.
Jak sprawdzić, które witryny które znajdują się na liście uprawnionych witryn:
1. Kilkamy Narzędzia > Opcje
2. Otworzy nam się okienko Opcje, w którym po lewej stronie klikamy na ikonkę z opisem Przeglądanie
3. Z prawej strony funkcji Zezwól witrynom na instalację oprogramowania znajduje się przycisk Uprawnione witryny. Po kliknięciu w niego powinniśmy ujrzeć listę stron, z których nasza przeglądarka może instalować programy. Domyślnie znajdują się tam adresy:
update.mozilla.org oraz addons.mozilla.org
Jeśli znajduje się tam więcej witryn, które sami dodaliśmy najlepiej będzie wyłączyć funkcję Zezwól witrynom na instalację oprogramowania oraz wyłaczyć obsługę języka JavaScript.
Wykryte kilka dni temu błędy umożliwiają przeprowadzenie ataku typu XCC (cross-site scripting), na odpowiednio przygotowanej stronie internetowej.
Wystarczy umieścić w kodzie strony odpowiedni skrypt wykorzystujący zarówno nieodpowiednią weryfikację parametru "IconURL" jak i niewłaściwe zabezpieczenia adresów URL.
Pierwszy z błędów umożliwia "oszukanie" przeglądarki, że dany kod został wywołany przez jedną ze stron znajdujących się na "białej liście" witryn, z których Firefox dopuszcza bezpośrednią instalację oprogramowania.
Drugi błąd umożliwia obejście zabezpieczeń sprawdzenia adresów URL zawierających kod JavaScript.
Do uruchomienia wykonywalnego pliku, który może zagrozić bezpieczeństwu naszego systemu trzeba tylko kliknąć w dowolnym miejscu na odpowiednio spreparowanej stronie lub wiadomości email. Exploity na wykryte dziury są już dostępne w sieci.
Mozilla Foundation na razie częściowo zapobiegła wykorzystaniu publicznie dostępnych exploitów, poprzez wprowadzenie kilku zmian w kodzie stron, które domyślnie znajdują się na wspomnianej "białej liście" i przenosząc te strony pod inne domeny.
Jeśli ktoś dodawał jeszcze inne strony do "białej listy", powinien wyłączyć obsługę JavaScript w Firefox do czasu opublikowania stosownych zabezpieczeń.
Jak sprawdzić, które witryny które znajdują się na liście uprawnionych witryn:
1. Kilkamy Narzędzia > Opcje
2. Otworzy nam się okienko Opcje, w którym po lewej stronie klikamy na ikonkę z opisem Przeglądanie
3. Z prawej strony funkcji Zezwól witrynom na instalację oprogramowania znajduje się przycisk Uprawnione witryny. Po kliknięciu w niego powinniśmy ujrzeć listę stron, z których nasza przeglądarka może instalować programy. Domyślnie znajdują się tam adresy:
update.mozilla.org oraz addons.mozilla.org
Jeśli znajduje się tam więcej witryn, które sami dodaliśmy najlepiej będzie wyłączyć funkcję Zezwól witrynom na instalację oprogramowania oraz wyłaczyć obsługę języka JavaScript.