Mozilla работает над устранением уязвимости браузера. Она позволяет осуществить несанкционированный доступ к данным на компьютере жертвы.

Mozilla подтвердила наличие уязвимости, которая позволяет украсть личные данные пользователей последней, исправленной версии Firefox. О ней сообщил исследователь ИБ Джерри Эйзенхаур (Gerry Eisenhaur).

Эйзенхаур опубликовал пример кода, который считывает содержание одного из файлов настроек Mozilla Thunderbird. Он предполагает, что нападающие могли бы получить доступ к важной информации, модифицируя этот тип атаки. «Можно загрузить любой JavaScript-файл на машине жертвы, - писал он в своем блоге. - Это очень интересно, и, возможно, уязвимость имеет большой потенциал, но на данный момент, это просто еще один обнаруженный недостаток».

«Все было бы серьезнее, если бы были приложения, которые сохраняли личные данные внутри JavaScript-файлов, - продолжает он. - Некоторые плагины, как известно, хранят имена пользователей и пароли».

Эта последняя уязвимость сказывается лишь на некоторых аддонах Firefox, таких, как Download Statusbar или Greasemonkey, которые сохраняют скрипты таким образом, что их можно обнаружить на жестком диске, говорит Уиндоу Снайдер (Window Snyder), глава по вопросам безопасности продуктов компании Mozilla, в блоге компании.

Firefox занимается исследованием данной уязвимости.

safe.cnews.ru

Последняя модификация: 25 Январь, 2008