Firefox "на службе" фишеров: кража реквизитов
Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков (Petko Petkov).
По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk.
Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace.
Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.
По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk.
Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace.
Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.
Ещё новости по теме:
18:20