Firefoxista löytyi aukkoja
0
Mozilla Firefox -selaimesta on löytynyt kolme html-elementtien raahaustoimintoon (drag and drop) liittyvää haavoittuvuutta. Näiden avulla hyökkääjä voi tehdä cross site scripting -hyökkäyksen tai pahimmillaan saada tietokoneen hallintaansa.
Haavoittuvuuksien hyödyntäminen edellyttää käyttäjältä toimia, minkä vuoksi tietoturvayhtiö K-Otik luokittelee aukot matalaksi uhaksi.
Ensimmäinen aukko on saanut nimen "Firedragging". Se mahdollistaa suorittettavien tiedostojen tekemisen työpöydälle. Käyttäjän on siirrettävä kuvaksi naamioitu suoritettava tiedosto työpöydälle. Normaalisti selain tekee selainikkunasta työpöydälle siirrettävästä suoritettavasta tiedostosta linkin. Haavoittuvuuden avulla työpöydälle siirtyy kuitenkin koko tiedosto.
"Firetabbing" aukkon hyödyntämiseksi käyttäjän on raahattava linkki välilehdestä toiseen. Aukko kiertää selaimen turvaominaisuuden, joka estää skriptien suorittamisen toisen sivuston ikkunassa tai välilehdessä.
Kolmas aukko "Fireflashing" mahdollistaa asetusten muokkaamisen "about: config" -ikkunasta. Käyttäjän on tuplaklikattava tiettyä kohtaa selainikkunasta, jotta tämä onnistuisi. Lisäksi esimerkkihyväksikäyttö toimii vain, jos selaimeen on asennettu Flash 7.
Bugzillan raportin mukaan Firedragging-, Firetabbing- ja Fireflashing-aukoille on saatavissa korjaukset.
Haavoittuvuuksille on julkaistu proof-of-consept-esimerkkikoodit, jotka toimivat Firefox 1.0 -selaimella Windows-ympäristössä. Vastaavia ongelmia on myös Mozilla- ja Netscape-selaimissa. (Digitoday)
