Bezpečnostní chyba ve Firefoxu 2.0.0.4

Server Secunia.com dnes informoval o nově objevené bezpečnostní chybě, která může postihnout uživatele Firefoxu. Chyba souvisí s registrovaným URI handlerem "firefoxurl://" v registrech Windows. Zneužití probíhá tak, že uživatel klepne v Internet Exploreru na speciálně vytvořený odkaz s využitím uvedeného URI handleru. Ten provede volání funkce ShellExecute, která podstrčí kód Firefoxu přes příkazovou řádku v kontextu místního počítače. Server Secunia.com chybu hodnotí jako Highly critical a v současné době na ní neexistuje oprava. Je však možné v registrech Windows zrušit URI handler "firefoxurl://".

Jak je z výše uvedeného popisu patrné, chyba je vlastně na obou stranách. Internet Explorer umožňuje spustit z webu externí aplikace s parametry, aniž by příliš zkoumal jejich obsah. Firefox pro změnu tomuto obsahu příliš důvěřuje. Thor Larholm, objevitel chyby, píše, že v tomto případě je díky této chybě zneužit Firefox, ale lze takto potencionálně zneužít i jiné aplikace.

Přečtěte si také:

• Flock 0.9 k dispozici
• Změna plánu vývoje Firefoxu 3.0

Komentáře

1. DiGi (www)
Osobně si myslím, že toto rozhodně není chyba IE. Firefox použije špatný kontext při spuštění mechanizmem, který si do systému sám přidal.
To pak můžeme tvrdit, že je chyba prohlížečů když spouští třeba Flash nebo clallto: Skype v momentu, kdy je ve Flashi nebo ve Skype bezpečnostní chyba.

2. MaD
Uplna oprava sice neexistuje, ale rozsireni noscript (http://noscript.net/) zneuziti zabrani.

Přidat komentář

K tomuto příspěvku není možné přidávat další komentáře.