IE, Firefox, Safari - dziurawa trójca

Firefox podatny na DoS

Wczoraj przedstawiciele Secunia poinformowali również o wykryciu poważnego błędu w innej popularnej przeglądarce - Firefoksie. Z pierwszych analiz wynika jednak, że jest on znacznie mniej groźny niż luka w IE - umożliwia on bowiem przeprowadzenie ataku DoS (denial of service). Problem związany jest z nieprawidłową obsługą niespodziewanych wywołań funkcji "focus()" w JavaScript. Na pewno dotyczy on najnowszej, udostępnionej kilka dni temu wersji Firefoksa - 1.5.0.2 (aczkolwiek wcześniejsze wersje również mogą być podatne na atak). Błąd został uznany za Secunia za "nie krytyczny", aczkolwiek wymagający załatania. Tymczasowym zabezpieczeniem jest wyłączenie obsługi JavaScript oraz, podobnie jak w przypadku luki w IE: nieodwiedzanie potencjalnie niebezpiecznych stron. Przedstawiciele Mozilla Foundation na razie nie skomentowali tych doniesień.

Apple: niebezpieczne Safari

Warto również przypomnieć, że wczoraj pojawiły się informacje o wykryciu kilku niebezpiecznych błędów w oprogramowaniu firmy Apple - w tym m.in. w przeglądarce Safari. Opublikował je niezależny ekspert ds. bezpieczeństwa, Tom Ferris. Część z błędów została już zweryfikowana przez French Security Incident Response Team (FrSIRT) - specjaliści uznali je za "krytyczne" i "wysoce krytyczne". Wśród luk znalazły się "dziury" umożliwiające zarówno zdalne zawieszenie lub zamknięcie przeglądarki, jak i zdalne uruchomienie kodu na zaatakowanej maszynie. Więcej informacji na ten temat można znaleźć na stronie Security-protocols.com.

"Spośród wymienionych powyżej, jedynie luka w Internet Explorerze grozi

potencjalnie możliwością wykonania złośliwego kodu. Pozostałe pozwalają co najwyżej na zablokowanie działania aplikacji" - powiedział nam Przemysław Jaroszewski z CERT Polska. Zdaniem naszego rozmówcy, liczba wykrywanych błędów nie powinna być jedynym kryterium oceny poziomu bezpieczeństwa przeglądarki - "Jak często podkreślamy, oprócz liczby wykrytych luk, istotna jest ich krytyczność oraz wcale nie w mniejszym stopniu czas reakcji producenta. Tutaj w obu kategoriach Internet Explorer wypada najsłabiej. Porównanie wszystkich, w szczególności niezałatanych aktualnie luk, również znaleźć można w serwisie Secunii [IE, Firefox, Opera, Safari - red.]" - mówi P. Jaroszewski

Zniszczyć IE!

Co ciekawe, pojawienie się informacji o nowych błędach w IE zbiegło się w czasie z rozpoczęciem pewnej nietypowej akcji. Grupa Amerykanów (określających siebie jako "polityczni aktywiści") rozpoczęła akcję pod hasłem "Explorer Destroyer" (czyli "niszczyciel Explorera).

Aktywiści wykorzystują do tego m.in. nowy program promocyjny firmy Google, w ramach którego właściciel strony WWW, która zachęci internautę do pobrania Firefoksa z dodatkiem Google Toolbar, dostanie wynagrodzenie w wysokości 1 USD. "Chcecie, żeby ludzie "przesiedli" się na Firefoksa. Teraz jest czas, by robić to na poważnie. Google płaci 1 USD za każdego użytkownika, którego zachęcicie do korzystania z Firefoksa. Możecie więc teraz promować swoje idee, ocalić ludzi od pop-upów i spyware'u... a przy okazji sporo zarobić" - piszą "niszczyciele" w swoim manifeście.

Jeśli webmaster wybierze opcję "dead-serious", to osoby korzystające z IE zamiast strony zobaczą taki oto komunikat.

Jeśli webmaster wybierze opcję "dead-serious", to osoby korzystające z IE zamiast strony zobaczą taki oto komunikat.

Działanie grupy nie ogranicza się jednak do promowania Firefoksa - w ramach akcji zamierza ona udostępniać właścicielom stron internetowych specjalne oprogramowanie, które ułatwi im zachęcenie internautów do "przesiadki" na Firefoksa. Oprogramowanie rozpoznaje, z jakiej przeglądarki korzysta użytkownik - jeśli będzie to IE, mogą stać się trzy rzeczy. Jeśli właściciel strony wybierze wcześniej opcję "delikatne zachęcenie" (do przejścia na FF), to na wyświetlanej witrynie internauta korzystający z IE zobaczy banner zachęcający do pobrania Firefoksa. W opcji "semi-serious" ("pół-serio") przed obejrzeniem strony w przeglądarce IE wyświetlony zostanie ekran powitalny promujący Firefoksa.

Jeśli zaś wybrana zostanie opcja zachęcenia "dead-serious" (w wolnym tłumaczeniu: "śmiertelnie poważnie"), to użytkownik IE w ogóle nie zobaczy strony - zamiast niej pojawi się komunikat, że powinien zainstalować Firefoksa (oraz wyjaśnienie, jakie korzyści mu to przyniesie).

Na stronie Killbillsbrowser.com w zabawny sposób prezentowane są przewagi Firefoksa nad produktem Microsoftu.

Na stronie Killbillsbrowser.com w zabawny sposób prezentowane są przewagi Firefoksa nad produktem Microsoftu.

Inicjatorzy akcji uruchomili również dodatkowy serwis -http://www.killbillsbrowser.com - w którym w zabawny sposób prezentowane są przewagi Firefoksa nad produktem Microsoftu.