Polak znalazł dziurę w Firefoksie 1.5

Michał Zalewski, ceniony specjalista ds. zabezpieczeń, znalazł lukę w zabezpieczeniach przeglądarki Firefox (w wersji 1.5.0.9). Problem dotyczy modułu odpowiedzialnego za blokowanie wyświetlania okienek pop-up.

Luka w zabezpieczeniach Firefoksa umożliwia uzyskanie nieautoryzowanego dostępu do dokumentów użytkownika komputera, na którym zainstalowania jest przeglądarka. Standardowo przeglądarka nie pozwala stronom internetowym na odwołania do lokalnych plików (nie jest możliwe skorzystanie z pola file://) - jednak zabezpieczenie to jest omijane, jeśli użytkownik zdecyduje się na wyświetlenie zablokowane wcześniej okienko pop-up. Luka umożliwia "napastnikowi" stworzenie pliku HTML, którego wyświetlenie (w opisanych powyżej okolicznościach) spowoduje odczytanie i przesłanie plików zgromadzonych na lokalnym dysku.

Z informacji udostępnionych przez Michała Zalewskiego wynika, że problem dotyczy jedynie Firefoksa w wersji 1.5 (a konkretnie: 1.5.0.9). Udostępniona pod koniec ubiegłego roku wersja 2.0 przeglądarki jest wolna od błędu - warto jednak zauważyć, iż Firefox 1.5 wciąż jest bardzo popularny. Wedle danych serwisu http://Ranking.pl (za ostatni tydzień stycznia 2007 r.) z tej wersji open-source'owej przeglądarki korzysta wciąż ok. 13% polskich internautów.

Więcej informacji o problemie znaleźć można w serwisie SecurityTeam.com.

Aktualizacja: 08 lutego 2007 17:46

Obsługa języka JavaScript i protokołu file:// zawiera błędy, umożliwiające uzyskanie dostępu do danych z dysku użytkownika. Odpowiednio przygotowany plik HTML pozwoli włamywaczowi przeglądać zawartość dysku twardego internauty, sprawdzać strukturę plików i katalogów, a także pobierać zawartość plików tekstowych.

Kiedy taki błąd może zostać wykorzystany? Muszą być spełnione tylko dwa warunki. Przede wszystkim, plik HTML musi zostać zapisany na dysk twardy i otworzony z lokalnego komputera w przeglądarce internetowej. To wymaganie łatwo uzyskać za pomocą sprytnego zachęcenia internauty do pobrania i otworzenia pliku. Drugim warunkiem jest włączona obsługa JavaScript w przeglądarce internetowej.

Sprawdziliśmy, że - inaczej niż sądził M. Zalewski - błąd dotyczy także przeglądarek Firefox 2.0 i Opera 9.1. Ustaliliśmy także, iż używając takiego sposobu ataku można czytać zawartość dysku twardego komputera pracującego pod Windows XP i Windows Vista.

Przeglądarka Internet Explorer w wersji 6 i 7 wydaje się być odporna na wykryty rodzaj ataku. Próby uruchomienia złośliwego kodu JavaScript w IE7 i IE6 spełzły na niczym. Nie sprawdzaliśmy opisywanego błędu we wcześniejszych wersjach Internet Explorera.

Najprostszy atak może przekazywać do włamywacza zawartość z góry określonego pliku. Nieco bardziej skomplikowany kod może pozwolić włamywaczowi na przeglądanie zawartości dysku ofiary niemal tak wygodnie, jak za pomocą menedżera plików.

Wykryty błąd dotyczy trzech różnych technologii. Przede wszystkim związany jest on z obsługą protokołu file:// i znacznika <iframe>. Możliwe jest bowiem wyświetlenie listy plików z dysku twardego, jeśli użytkownik otworzy dokument HTML zapisany na lokalnym komputerze. Z drugiej strony, odpowiedni kod w Języku JavaScript umożliwia odczytanie zawartości znacznika <iframe>, a także zmianę zawartości ramki na np. adres URL. Połączenie <iframe> i JavaScript powoduje możliwość przesłania informacji o zawartości dysku twardego na dowolny serwer. Podejrzany układ ramek <iframe> w dokumencie może zostać ukryty np. za pomocą stylu CSS.

O wykrytym błędzie poinformowaliśmy zespoły tworzące przeglądarki internetowe. Więcej szczegółów podamy, gdy uzyskamy potwierdzenie usterki od twórców przeglądarek. Jak dotąd nie natrafiliśmy na informacje o wcześniejszym wykryciu właśnie takiej usterki. Zresztą wydaje się on na tyle poważny, że, wykryty, zostałby szybko naprawiony przez odpowiednią aktualizację oprogramowania.


Zobacz również