O vulnerabilitate serioasa de browser, dar din vina cui ?
O vulnerabilitate grava ce determina lansarea Firefox de catre Internet Explorer si executarea de instructiuni malitioase a generat dezbateri aprinse privind responsabilitatea pentru remedierea sa.
Vulnerabilitatea, care a fost raportata pe un mare numar de blog-uri de securitate, permite unui atacator sa execute cod remote pe o statie care ruleaza IE dar are instalat si browser-ul Mozilla. Prin atragerea unui utilizator IE pe un site construit special, atacatorii pot determina Firefox sa execute instructiuni de cod fara a le verifica in prealabil.
Dna. Window Snyder, director de securitate la Mozilla, a declarat ca dezvoltatorii sai vor lansa un patch pentru a impiedica Firefox sa accepte datele eronate transmise prin IE, dar a subliniat ca numai cei care navigheaza folosind browser-ul Microsoft sunt vulnerabili in cazul unui astfel de atac. “Recomandam folosirea Firefox si o atitudine prudenta la navigarea pe site-uri necunoscute”.
De cealalta parte, reprezentantii Microsoft au declarat ca cercetatorii companiei “au investigat aceasta presupusa vulnerabilitate in Internet Explorer si au ajuns la concluzia ca vulnerabilitatea nu apartine vreunui produs Microsoft”. De asemenea, dl. Jesper Johansson, fost strateg de securitate la Microsoft, a argumentat ca “in mod sigur” problema nu este cauzata de IE. “Firefox nu valideaza corespunzator parametrii, iar aplicatia corectoare va trebui sa provina de la Mozilla si nu de la Microsoft”, a apreciat acesta pe blog-ul sau.
O demonstratie a vulnerabilitatii ce foloseste IE pentru a transmite cod malitios catre Firefox este disponibila la adresa:
http://www.xs-sniper.com/sniperscope/IE-Pwns-Firefox.html
Dl. Roger Thompson, director tehnic al Exploit Prevention Labs, apreciaza ca Microsoft este partial responsabil pentru ca IE nu valideaza datele inainte de a le transmite. “Cred ca este o vulnerabilitate ce tine in principal de IE, pentru ca daca accesam exploit-ul direct cu Firefox, acesta avertizeaza utilizatorii ca a intervenit o problema si le recomanda sa nu continue”.
Tag: stiri
Leave a comment