Firefox wymaga łatania
- Daniel Cieślak,
- 10.09.2005, godz. 02:13
Tom Ferris, niezależny specjalista ds. zabezpieczeń poinformował o wykryciu groźnej luki w zabezpieczeniach Firefoksa, umożliwiającej wywołanie błędu przepełnienia bufora i zdalne przejęcie kontroli nad zaatakowanym systemem. Błąd występuje w większości popularnych wersji Firefoksa - w tym również w udostępnionej w piątek pierwszej becie Firefoksa 1.5.
Problem polega na tym, że Firefox nieprawidłowo obsługuje długie odnośniki URL, zawierające w sobie myślniki. Dzięki temu możliwe jest stworzenie adresu URL, który spowoduje błąd przepełnienia bufora. Ferris stworzył nawet specjalną stronę demonstracyjną - aczkolwiek ograniczył jej destrukcyjny potencjał do zawieszania przeglądarki. Szczegółowe informacje na ten temat można znaleźć na stronie Security-protocols.com.
Na taki atak podatna jest przeglądarka Firefox dla systemu Windows (1.0.x) oraz Linux (1.0.x). Co więcej, błąd występuje również w udostępnionej wczoraj pierwszej wersji beta Firefoksa 1.5 (beta 1 Deer Park).
O problemie zostali już poinformowani przedstawiciele Mozilla Foundation.
Programiści z Mozilla Foundation przygotowali uaktualnienie oraz instrukcję, które ułatwiają użytkownikom wyłączenie niepoprawnie działającej funkcji Firefoksa (chodzi o IDN - czyli funkcję umożliwiającą otwieranie w przeglądarce stron, w których adresach użyte są diakrytyczne znaki narodowe) - można je znaleźć na stroniehttp://www.mozilla.org/security/idn.html . Przedstawiciele MF potwierdzili również, że na opisany przez Toma Ferrisa atak podatne są wszystkie wersje przeglądarki Mozilla Firefox.
Fundacja pracuje już nad uaktualnieniem, które usunie problem - nie wiadomo jednak na razie, kiedy zostanie ono udostępnione.