Kolejna dziura w IE

Francuski ośrodek SANS Internet Storm Center poinformował o wykryciu dwóch poważnych luk w zabezpieczeniach przeglądarki Internet Explorer.

Jak informują przedstawiciele SANS Internet Storm Center, w przeglądarce wykryto błąd, który pozwala na przeprowadzenie skutecznego ataku z wykorzystaniem techniki cross-site scripting. Umożliwia on przechwycenie przez jedną stronę internetową zawartości innej strony, wyświetlanej na tym samym komputerze - lukę tę przestępcy mogą wykorzystać np. do wykradania cennych danych...

Drugi błąd wydaje się poważniejszy. Luka związana jest ze sposobem, w jaki przeglądarka obsługuje elementy HTA (HTML Applications). Według SANS Internet Storm Center, umożliwia ona stworzenie pliku, którego uruchomienie na zaatakowanym komputerze pozwoli zdalnemu użytkownikowi na uzyskanie pełnego, nieautoryzowanego dostępu do systemu.

Producenci zagrożonych aplikacji otrzymali już informacje o błędach - są one aktualnie analizowane.

Aktualizacja: 03 lipca 2006 16:44

SANS Institue, na który powoływaliśmy się w niniejszym artykule, zaktualizował swój raport. Z jego ostatecznej wersji wynika, iż opisywana luka nie dotyczy przeglądarki Firefox. Treść artykułu zmodyfikowaliśmy, uwzględniając zmiany w raporcie.

Marek Stępień, przedstawiciel Mozilla Europe, wystosował do naszej redakcji oświadczenie następującej treści:

"W artykule podano nieprawdziwe informacje na temat przeglądarki Mozilla Firefox, sugerując, jakoby istniał w niej błąd umożliwiający atak z wykorzystaniem własności outerHTML.

Jak można sprawdzić w pierwszym lepszym kursie podstaw JavaScriptu/DHTML, silnik Gecko, a co za tym idzie Firefox, Mozilla, Camino, SeaMonkey itd. nie posiadają obsługi własności outerHTML.

Nie mając outerHTML, Firefox w oczywisty sposób nie może mieć w nim błędu."

Wszystkich czytelników przepraszamy.