Poważny błąd w Firefoksie i IE

W najnowszych wersjach dwóch najpopularniejszych obecnie przeglądarek Internetowych - Firefoksa oraz Internet Explorera - wykryto błędy, umożliwiające nieautoryzowanym użytkownikom uzyskanie dostępu do danych zapisanych na twardym dysku komputera. Luki w zabezpieczeniach przeglądarek odkrył polski haker, Michał Zalewski.

W obydwu przypadkach problem związany jest z funkcją umożliwiającą przeglądarce przesłanie plików na zdalny serwer. Luki w FF i IE umożliwiają stworzenie strony WWW, za pośrednictwem której zdalny "napastnik" będzie mógł uzyskać dostęp do plików zgromadzonych na lokalnym dysku - wystarczy, iż "ofiara" wpisze w dostępnym na owej stronie polu formularza (np. oknie do edycji komentarza) odpowiedni ciąg znaków.

Na stronie Michała Zalewskiego znaleźć można dwa przykłady, prezentujące jak może zostać wykorzystany ów błąd - pierwszy przeznaczony jest dla użytkowników Firefoksa , drugi - IE. Wpisanie na owych stronach zasugerowanego przez M. Zalewskiego tekstu spowoduje wyświetlenie zawartości pliku boot.ini.

Problem dotyczy przeglądarki Firefox w wersji 2.0 i 1.5 (zarówno dla systemu Windows, jak i Linux) oraz Internet Explorera 6 i 7. Producenci przeglądarek zostali już poinformowani o problemie - Microsoft wstępnie potwierdził występowanie luki w zabezpieczeniach.

Więcej informacji znaleźć można na stronie Michała Zalewskiego. Warto przypomnieć, że kilka dni temu M. Zalewski znalazł inną lukę w zabezpieczeniach Firefoksa (wersji 1.5) - pisaliśmy o tym w tekście "Polak znalazł dziurę w Firefoksie 1.5".


Zobacz również