РАЗДЕЛЫ
Архив
|
Симбиоз IE и Firefox открывает компьютер для взлома≡ Безопасность | Новости | 13.07.2007 14:29 На днях специалист по интернет-безопасности Тор Лархольм (Thor Larholm) опубликовал сообщение об обнаруженной им уязвимости Internet Explorer, возникающей при установке на компьютер (одновременно с IE) еще и браузера Firefox. Кстати, такая же уязвимость была им обнаружена месяц назад в браузере Safari 3 beta. Эти уязвимости относятся к разряду "недостаточной валидации вводимых данных" (input validation vulnerability). Суть состоит в том, что современные браузеры могут обрабатывать, вообще говоря, произвольные (по названию) протоколы интернет-адресов - при условии, что эти протоколы (их названия) прописаны в регистре компьютера. Если в регистре прописано: [HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command\@] - и браузер встречает URL, содержащий "FirefoxURL"в качестве протокола, например: FirefoxURL://abracadabra - то он запустит команду ShellExecute, вызывающую Firefox: "C:\PROGRA~1\MOZILL~2\FIREFOX.EXE" -url "firefoxurl://abracadabra" -requestPending Оказалось, что Internet Explorer не занимается проверкой наличия в строке URL (в нашем случае – "abracadabra") "неправильно поставленных" кавычек. То есть если подсунуть ему URL: FirefoxURL://foo" –argument "my value - то он запустит на выполнение команду: "C:\PROGRA~1\MOZILL~2\FIREFOX.EXE" -url "firefoxurl://foo" –argument "my value/" –requestPending А дальше вступает уже в дело специфика Firefox, а именно – то, что этот браузер принимает в качестве параметров командной строки исполняемые (JavaScript) скрипты! Так злоумышленник может "заставить" установленный на компьютере ничего не подозревающего интернет-пользователя Firefox выполнить произвольный JavaScript. Таким образом получается, что парни друг друга подставили: то ли Internet Explorer подставил Firefox, то ли Firefox подставил Internet Explorer. Интересно, что в обсуждении заметки Тора Лархольма ему сразу ответили, что у многих пользователей Firefox при инсталляции вообще-то не прописывает в регистр протокол FirefoxURL, а только протокол FirefoxHTML, который обрабатывается немного по-другому, выдавая пользователю предупреждение. Тор Лархольм признал: протокол FirefoxURL прописывается при инсталляции Firefox начиная с версии 2.0.0.2, и сделано это изменение в Firefox для того, чтобы улучшить совместимость FireFox с Windows Vista. Проверить, подвержена ли этой уязвимости комбинация IE+FF, легко: нужно ввести в адресной строке IE: firefoxurl://microsoft.com" -chrome "javascript:alert("Must die!");" - и если загрузится Firefox и выдаст сообщение "Must die!", - значит ваш компьютер уязвим. Кто в этом случае must die – решайте сами! комментарии(9) | разделы: Новости | Безопасность Материалы по теме CNews и Panda Software Russia собрали базу уязвимостей и патчей Другие новости |
Последние комментарии
Гость про Суд велел "Твиттеру" сдать сторонников WikiLeaks (12)
Гость про Книгоиздатели начали судиться с торрентами (2)
l_e_x_a про "ВКонтакте" принудительно протестирует пользователей (35)
andrey_kadetov про Google назвал Facebook "ловушкой без выхода" (6)
volv про День папуасского робошахтёра (14)
l_e_x_a про Русские кликботы признаны самыми активными (11)
все комментарии looli спрашивает: Земля вампиров смотреть онлайн в HD качестве looli спрашивает: Зеленый Фонарь смотреть онлайн в HD качестве looli спрашивает: Защитник смотреть онлайн в HD качестве looli спрашивает: Запретная зона смотреть онлайн в HD качестве looli спрашивает: Закон доблести смотреть онлайн в HD качестве looli спрашивает: Вышибала смотреть онлайн в HD качестве looli спрашивает: Встречный ветер смотреть онлайн в HD качестве looli спрашивает: Все любят китов смотреть онлайн в HD качестве |
Copyright © 2001-2020 «Вебпланета». При перепечатке ссылка на «Вебпланету» обязательна.