Niebezpieczny błąd w IE i Firefoksie

Firma Secunia poinformowała o wykryciu niebezpiecznego błędu w zabezpieczeniach większości popularnych przeglądarek - m.in. w Internet Explorerze oraz Firefoksie. Błąd umożliwia wykradanie informacji od internautów za pośrednictwem okienka dialogowego JavaScript, wyświetlanego na dowolnej stronie WWW.

Błąd w zabezpieczeniach przeglądarek umożliwia cyberprzestępcom stworzenie strony WWW, która będzie w stanie wyświetlać komunikaty na innych stronach, odwiedzanych po niej. Jeśli taki komunikat będzie np. formularzem, przestępcy mogą wykradać za jego pośrednictwem cenne informacje. Użytkownikowi trudno jest rozpoznać, jaka strona wyświetla komunikat, ponieważ okienka JavaScript nie zawierają informacji o stronie źródłowej.

Przykładowy atak może wyglądać tak - przestępca skłania ofiarę do wejścia na określoną stronę WWW (np. przesyłając adres e-mailem lub za pośrednictwem komunikatora), z której ofiara zostaje później przekierowana (automatycznie lub poprzez kliknięcie odnośnika) np. na stronę swojego e-banku. Tam, podczas próby zalogowania się, wyświetlone zostanie okienko z prośbą o ponowne podanie loginu i hasła - gdy użytkownik to zrobi, informacje te zostaną przechwycone przez przestępcę (ponieważ okienko wyświetlone zostało nie przez bank, lecz przez poprzednio odwiedzoną stronę).

Jak twierdzą przedstawiciele Secunia, na taki atak podatna jest więkoszość popularnych przeglądarek - nawet ich najnowsze wersje. Firma stworzyła specjalną stronę testową, na której można sprawdzić, czy dana przeglądarka może zostać zaatakowana w opisany powyżej sposób. Aby skorzystać z testu, należy kliknąć łącze "Test Now - Left Click On This Link" - wtedy otwarta zostanie strona wyszukiwarki Google. Następnie wyświetlone zostanie okno dialogowe z prośbą o podanie informacji - jeśli okno to nie będzie zawierało informacji o tym, która strona je wyświetliła, będzie to oznaczało, że przeglądarka jest podatna na atak. Redakcyjne testy potwierdziły, że dotyczy to m.in. najnowszych wersji Internet Explorera oraz Firefoksa.

Więcej informacji: Secunia.

Aktualizacja: 22 czerwca 2005 11:23
Z tekstu usunięto informację o podatności na opisany atak przeglądarki Opera - w jej najnowszej wersji, 8.01, problem ten został już usunięty.
Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.