Obrazkowa luka w Firefoksie i Operze

Gynvael Coldwind, specjalista ds. bezpieczeństwa z serwisu Vexillium.org wykrył błąd występujący w dwóch popularnych przeglądarkach internetowych- Firefoksie (w wersji 2.0.0.11) oraz Operze (9.5 beta). Pozwala on na wykradanie danych - np. spisu odwiedzonych stron WWW.

Problem związany jest z tym, jak obie przeglądarki obsługują pliki graficzne w formacie .BMP. Luka umożliwia stworzenie "złośliwego" pliku graficznego, które wyświetlenie w przeglądarce spowoduje błąd i pozwoli przestępcy na przejęcie pewnej porcji danych z pamięci przeglądarki. "Wśród przejętych w ten sposób danych mogą się znaleźć np. historia, spis ulubionych storn użytkownika, fragmenty obejrzanych witryn itp." - mówi Gynvael Coldwind. Z analiz przeprowadzonych przez Coldwinda wynika także, że luka ta może posłużyć do zawieszenia przeglądarki Firefox.

Błąd wykryty został już kilka tygodni temu (wtedy też zostali o nim powiadomieniu twórcy Opery i Firefoksa) - Gynvael Coldwind zwlekał z opublikowaniem informacji o problemie do czasu przygotowania nowych, zabezpieczonych wersji przeglądarek.

W przypadku Firefoksa luka znajdowała się w wydaniu 2.0.0.11 (oraz wcześniejszych) - udostępniona niedawno wersji 2.0.0.12 jest załatana. Na atak podatna była także Opera w wersji 9.5 beta - od kilku dni jest już dostępna poprawiona wersja.

Więcej informacji - w tym m.in. film przedstawiający mechanizm ataku - znaleźć można na stronie Vexillium.org.


Zobacz również