:

Szerző: Bodnár Ádám

2005. június 23. 10:11

A legnépszerűbb böngészőket egyaránt érinti egy sérülékenység

[News.com] A dán Secunia biztonsági cég által kedden nyilvánosságra hozott figyelmeztetés szerint több népszerűt is érint egy bizonsági rés, amelyet kihasználva a támadók személyes adatokhoz férhetnek hozzá.

[News.com] A dán Secunia biztonsági cég által kedden nyilvánosságra hozott figyelmeztetés szerint több népszerűt is érint egy bizonsági rés, amelyet kihasználva a támadók személyes adatokhoz férhetnek hozzá.

A probléma a böngészők JavaScript-kezelésével kapcsolatos, a hiba lehetővé teszi hogy egy weboldal előtt olyan felugró ablak jelenjen meg, amelyről a felhasználó azt gondolja, eredeti. "A gond az, hogy a JavaScript párbeszédablakok nem jelenítik meg vagy tartalmazzák a származási helyüket" -- áll a Secunia által kiadott figyelmeztetésben. A vállalat a sérülékenységet a "kevésbé kritikus" kategóriába sorolta be.

A biztonsági rés kihasználásához a támadónak először a saját oldalára kell csalnia a felhasználót, majd egy új ablakot nyitni, amelyben például egy internetes bank jelenik meg. Az ártó szándékú oldal ezután egy felugró párbeszédablakot jelenít meg a bank weboldala felett, amiről a felhasználók azt hihetik, a bankhoz tartozik, így beírják az adataikat, amelyek valójában a támadóhoz kerülnek.

A Secunia szerint a hiba az Internet Explorer, Safari, iCab, Mozilla, Firefox és a Camino böngészőket egyaránt érinti. Az Opera 8.01 ebből a szempontból biztonságos, a régebbi verziók azonban sérülékenyek. A Microsoft azt tanácsolja az Internet Explorer felhasználóinak, hogy ne bízznanak az olyan pop-up párbeszédablakokban, amelyek jobb alsó sarkában nem látják a lakat ikont, ami azt jelenti, hogy a webhely biztonságos.

A második legnépszerűbb böngésző, a Firefox fejlesztői már régóta dolgoznak az ilyen támadások elhárításán. A nyílt forrású böngészőhöz már több hónapja megjelent egy javítás, amely blokkolja a Java- vagy Flash-alapú felugró ablakokat, ha azok nem megbízható forrásból származnak. A Mozilla egyelőre nem kommentálta a Secunia információit.

a címlapról