Симбиоз IE и Firefox открывает компьютер для взлома

На днях специалист по интернет-безопасности Тор Лархольм (Thor Larholm) опубликовал сообщение об обнаруженной им уязвимости Internet Explorer, возникающей при установке на компьютер (одновременно с IE) еще и браузера Firefox. Кстати, такая же уязвимость была им обнаружена месяц назад в браузере Safari 3 beta.

Эти уязвимости относятся к разряду "недостаточной валидации вводимых данных" (input validation vulnerability). Суть состоит в том, что современные браузеры могут обрабатывать, вообще говоря, произвольные (по названию) протоколы интернет-адресов - при условии, что эти протоколы (их названия) прописаны в регистре компьютера. Если в регистре прописано:

[HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command\@]
C:\\PROGRA~1\\MOZILL~2\\FIREFOX.EXE -url "%1" -requestPending

- и браузер встречает URL, содержащий "FirefoxURL"в качестве протокола, например:

FirefoxURL://abracadabra

- то он запустит команду ShellExecute, вызывающую Firefox:

"C:\PROGRA~1\MOZILL~2\FIREFOX.EXE" -url "firefoxurl://abracadabra" -requestPending

Оказалось, что Internet Explorer не занимается проверкой наличия в строке URL (в нашем случае – "abracadabra") "неправильно поставленных" кавычек. То есть если подсунуть ему URL:

FirefoxURL://foo" –argument "my value

- то он запустит на выполнение команду:

"C:\PROGRA~1\MOZILL~2\FIREFOX.EXE" -url "firefoxurl://foo" –argument "my value/" –requestPending

А дальше вступает уже в дело специфика Firefox, а именно – то, что этот браузер принимает в качестве параметров командной строки исполняемые (JavaScript) скрипты! Так злоумышленник может "заставить" установленный на компьютере ничего не подозревающего интернет-пользователя Firefox выполнить произвольный JavaScript.

Таким образом получается, что парни друг друга подставили: то ли Internet Explorer подставил Firefox, то ли Firefox подставил Internet Explorer.

Интересно, что в обсуждении заметки Тора Лархольма ему сразу ответили, что у многих пользователей Firefox при инсталляции вообще-то не прописывает в регистр протокол FirefoxURL, а только протокол FirefoxHTML, который обрабатывается немного по-другому, выдавая пользователю предупреждение.

Тор Лархольм признал: протокол FirefoxURL прописывается при инсталляции Firefox начиная с версии 2.0.0.2, и сделано это изменение в Firefox для того, чтобы улучшить совместимость FireFox с Windows Vista.

Проверить, подвержена ли этой уязвимости комбинация IE+FF, легко: нужно ввести в адресной строке IE:

firefoxurl://microsoft.com" -chrome "javascript:alert("Must die!");"

- и если загрузится Firefox и выдаст сообщение "Must die!", - значит ваш компьютер уязвим. Кто в этом случае must die – решайте сами!

Другие новости