Blitz - Stiri zilnice din IT, IT&C: tehnologie, internet, telecom, gadgets, jocuri
Stiri IT                    
Articole Comentarii Newsletter Contact Despre Blitz
Ultimele Stiri
Arhiva

Decembrie 2014
L Ma Mi J V S D
« Sep    
1234567
891011121314
15161718192021
22232425262728
293031  
Stiri Populare
(none)

Vulnerabilitate de browser, dar a cui e vina?

11-07-2007, 22:13

O vulnerabilitate care face ca Internet Explorer sa lanseze Firefox, iar acesta sa execute cod malware pe sistemul utilizatorului declanseaza o disputa privind cine dintre Microsoft si Mozilla are responsabilitatea repararii acesteia.

Vulnerabilitatea, detaliata de catre cercetatorul in materie de securitate Thor Larholm, permite unui atacator sa execute cod malware pe o masina care ruleaza IE, dar are si Firefox instalat. Daca utilizatorul foloseste IE pentru a vizita un site special creat in acest scop, atacatorul poate cauza Firefox sa execute codul fara a verifica elementele de securitate ale acestuia.

Problema, considerata critica de catre firma de securitate Secunia si demonstrata aici, tine de handlerul de protocol “firefoxurl”, care determina IE sa lanseze Firefox atunci cand o pagina web contine un link cu un astfel de handler. Cand Firefox este lansat, IE nu verifica sintaxa datelor incluse in URL, permitand includerea de cod malware care este executat de catre Firefox.

Zicala ca succesul are multi parinti, in timp ce esecul este orfan, pare sa se aplice in aceasta situatie. Window Snyder, sefa diviziei de securitate de la Mozilla, a afirmat ca dezvoltatorii Mozilla vor crea un patch astfel incat Firefox sa nu mai accepte orice fel de date de la IE, dar a subliniat ca problema ii afecteaza pe cei care folosesc IE ca browser, recomandand acestora sa foloseasca Firefox in mod exclusiv.

De cealalta parte, Microsoft a afirmat ca “a investigat asa-zisa vulnerabilitate de Internet Explorer si a stabilit ca nu este vorba despre o vulnerabilitate a unui produs Microsoft.” Jesper Johansson, un fost expert de securitate de la Microsoft, a spus pe blogul sau ca “Firefox este cel care nu valideaza corect parametrii, asa ca solutia acestei probleme trebuie sa vina de la Mozilla, nu de la Microsoft.”

Roger Thompson, CTO la Exploit Prevention Labs, crede ca IE are cea mai mare parte a responsabilitatii, deoarece nu valideaza datele inainte de a le trimite catre Firefox. “Cred ca in principal este o problema de IE, deoarece daca accesezi exploit-ul cu Firefox, acesta avertizeaza ca ceva este in neregula si recomanda utilizatorului sa nu urmeze link-ul respectiv.”

(Sursa: The Register)


Categorii: Browsere, Securitate.

Scrie un comentariu:

(obligatoriu)
(obligatoriu, nu va fi publicat)

XHTML: Puteti folosi aceste tag-uri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

 
Ziare.ro InfoPortal.ro Stiinta.info