Firefox "на службе" фишеров: кража реквизитов

Понедельник, 12 ноября 2007 г.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e

Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков (Petko Petkov).

По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk.

Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace.

Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.

Следите за нами в ВКонтакте, Телеграм'e и Twitter'e


Просмотров: 865
Рубрика: Hi-Tech


Архив новостей / Экспорт новостей

Ещё новости по теме:

RosInvest.Com не несет ответственности за опубликованные материалы и комментарии пользователей. Возрастной цензор 16+.

Ответственность за высказанные, размещённую информацию и оценки, в рамках проекта RosInvest.Com, лежит полностью на лицах опубликовавших эти материалы. Использование материалов, допускается со ссылкой на сайт RosInvest.Com.

Архивы новостей за: 2018, 2017, 2016, 2015, 2014, 2013, 2012, 2011, 2010, 2009, 2008, 2007, 2006, 2005, 2004, 2003