ווטסאפ - לינוקס, BSD, קוד פתוח ותוכנה חופשית בעברית. Whatsup - Linux, BSD, open source and free software in Hebrew

  		 
  כניסת חברים · רישום · שכחתי סיסמה  
tux the penguin

quick_linkפרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש מעקף חלקי [עודכן]

published at 10/12/2004 - 07:00 · ‏פורסם דוביקס · ‏tags אבטחת מידע · שלח לחברידידותי למדפסת
אבטחת מידע חברת האבטחה Secunia איתרה פרצת אבטחה בדפדפנים מוזילה, פיירפוקס, קונקורר, אופרה, ספארי, נטסקייפ ואינטרנט אקספלורר (כולל XP עם SP2). פרצת האבטחה מאפשרת לאתר זדוני לשנות תוכן דף של אתר אחר, אם כתובת דף המטרה ידועה. כך למשל, יכול אתר זדוני הפתוח במקביל לאתר אחר (כגון בנק), להחליף תוכן דף באתר המטרה.


הדגמת הבעיה

חברת Secunia הכינה דף בדיקה המדגים את הבעיה. הדף מכיל קישור הדגמה והוראות מתאימות. הסבר על עקרון הפרצה מוסבר באיור שהוכן ע"י חברת Secunia.

מעקף לבעיה - פיירפוקס ומוזילה

בתיבת הכתובת יש להקליד about:config

בשורת ה-Filter שתופיע יש להקליד: dom.disable_window_open_feature.location

יש להקליד לחיצה כפולה על המשתנה, כך שערכו ישתנה ל-true

שימו לב שמדובר במעקף, לא בפתרון קבע לבעיה. לפי ההסבר בקישור המצורף המעקף יבטיח שכתובת האתר המוצגת בשורת הכתובת היא כתובת האתר המזוייף, כך שניתן יהיה לזהות בקלות שמדובר בכתובת שונה ממה שציפיתם. תוכן הדף עדיין יוחלף בתוכן האתר המזוייף (יש לרענן את דף הבדיקה לצורך ביצוע בדיקה חוזרת).

דיווח על הבעיה בבאגזילה של מוזילה - למעקב אחרי התיקון

אם למישהו ידועה דרך לפתור את הבעיה בדפדפנים אחרים, נשמח לשמוע.

קישורים:

MozillaNews, Multiple-Browser Frame Injection Vulnerabilities (and Other Security Updates‏)
 

קישורים רלוונטיים

· עוד על אבטחת מידע
· חדשות מאת דוביקס

הסיפור הנקרא ביותר בנושא אבטחת מידע:
האקרים עדכנו גרסה עם 'דלת אחורית' בשרת הפרוייקט sendmail.org

פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש מעקף חלקי [עודכן] | כניסה / יצירת מנוי חדש | 8 תגובות
סף חסימה
  
ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן
Re: פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש פתרון פשוט (ניקוד: 1)
ע"י Love ב 10/12/2004 - 08:08
(מידע על משתמש | שלח הודעה) http://http://
נחמד,
היתה פירצה :)

[ השב לזאת ]

Re: פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש פתרון פשוט ע"י Jaloobi ב 10/12/2004 - 12:13
Re: פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש פתרון פשוט (ניקוד: 1)
ע"י sijp (sijp@sijproject.com) ב 10/12/2004 - 12:13
(מידע על משתמש | שלח הודעה) http://sijp.sourceforge.net
אני לא יודע מה אתכם. אבל הפיתרון הזה לא פתר אצלי את הבעיה. תחילה, היה נראה שזה פתר, אבל תוך קריאה קצרה בדף הבדיקה ראיתי שאם רוצים לבדוק את הפירצה בשנית, יש לרענן את דף הבדיקה, וכך עשיתי (כמובן שקודם כל סגרתי את החלונות שנפתחו)... התופעה חזרה גם אחרי שינוי המשתנה לtrue היא לא חזרה בשנית עד רענון דף הבדיקה (מה שגרם לה לחזור).

יש לי שועל מגרסא 1.0 שהורדתי מהאתר של מוזילה. האם למישהו אחר זה גם קורה?

[ השב לזאת ]

Re: פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש פתרון פשוט ע"י פינגווין אנונימי ב 10/12/2004 - 12:32
Re: פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש פתרון פשוט ע"י דוביקס ב 10/12/2004 - 12:42
Re: פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש מעקף חלקי [עו (ניקוד: 1)
ע"י shlomif ב 10/12/2004 - 13:46
(מידע על משתמש | שלח הודעה) http://www.shlomifish.org/


טוב, בקונקורר 3.2.3 ממנדרייק 10.1 Official עם העדכונים האחרונים, הפירצה לא עבדה. בפיירפוקס 1.0 זה כן עבד, רק שכאמור ה-URL השתנה לזה של סקונייה.


[ השב לזאת ]

Re: פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש מעקף חלקי [עו ע"י דוביקס ב 10/12/2004 - 15:20
הבאג בבאגזילה של מוזילה - למעקב אחרי התיקון (ניקוד: 1)
ע"י דוביקס ב 10/12/2004 - 15:18
(מידע על משתמש | שלח הודעה)
דיווח על הבעיה בבאגזילה של מוזילה - למעקב אחרי התיקון

[ השב לזאת ]