Összefoglaló
A Firefox 2 sérülékenységét jelentették, melyet támadók bizonyos biztonsági korlátozások megkerülésére és érzékeny adatok kiszivárogtatására használhatnak ki.
Leírás
A Firefox 2 sérülékenységét jelentették, melyet támadók bizonyos biztonsági korlátozások megkerülésére és érzékeny adatok kiszivárogtatására használhatnak ki.
A problémát az okozza, hogy többszörös tab-ok nyitására adódik lehetőség az URI-ban (egységes forrásazonosító) megadott pipe szimbólummal. Ennek segítségével “chrome:” URI-kat indíthatnak parancssorból, valamint “file:” URI-t használva olvashatják a felhasználó rendszerén lévő fájlokat. Ugyanakkor szükséges hozzá, hogy a támadó képes legyen elhelyezni egy rosszindulatú fájlt, egy kitalálható helyen, a felhasználó rendszerén (pl. egy másik biztonsági rés segítségével).
A sérülékenység sikeres kiaknázásához egy speciálisan összeállított URI-t kell továbbítani a Firefoxnak, amikor az nem fut.
A sérülékenység a 2.0.0.16 előtti verziókat érinti.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Information disclosure (Információ/adat szivárgás)Input manipulation (Bemenet módosítás)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.mozilla.com
SECUNIA 31120
Gyártói referencia: www.mozilla.org
US-CERT 130923