|
חברת האבטחה Secunia איתרה פרצת אבטחה בדפדפנים מוזילה, פיירפוקס, קונקורר, אופרה, ספארי, נטסקייפ ואינטרנט אקספלורר (כולל XP עם SP2). פרצת האבטחה מאפשרת לאתר זדוני לשנות תוכן דף של אתר אחר, אם כתובת דף המטרה ידועה. כך למשל, יכול אתר זדוני הפתוח במקביל לאתר אחר (כגון בנק), להחליף תוכן דף באתר המטרה.
הדגמת הבעיה
חברת Secunia הכינה דף בדיקה המדגים את הבעיה. הדף מכיל קישור הדגמה והוראות מתאימות. הסבר על עקרון הפרצה מוסבר באיור שהוכן ע"י חברת Secunia.
מעקף לבעיה - פיירפוקס ומוזילה
בתיבת הכתובת יש להקליד about:config
בשורת ה-Filter שתופיע יש להקליד: dom.disable_window_open_feature.location
יש להקליד לחיצה כפולה על המשתנה, כך שערכו ישתנה ל-true
שימו לב שמדובר במעקף, לא בפתרון קבע לבעיה. לפי ההסבר בקישור המצורף המעקף יבטיח שכתובת האתר המוצגת בשורת הכתובת היא כתובת האתר המזוייף, כך שניתן יהיה לזהות בקלות שמדובר בכתובת שונה ממה שציפיתם. תוכן הדף עדיין יוחלף בתוכן האתר המזוייף (יש לרענן את דף הבדיקה לצורך ביצוע בדיקה חוזרת).
דיווח על הבעיה בבאגזילה של מוזילה - למעקב אחרי התיקון
אם למישהו ידועה דרך לפתור את הבעיה בדפדפנים אחרים, נשמח לשמוע.
קישורים:
MozillaNews, Multiple-Browser Frame Injection Vulnerabilities (and Other Security Updates)
| |
|
פרצת אבטחה חובקת דפדפנים מאפשרת הטעיית גולשים; לפיירפוקס ומוזילה יש מעקף חלקי [עודכן] | כניסה / יצירת מנוי חדש | 8 תגובות |
| ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן |
|
|