Gyurkity Péter
Hét éves biztonsági hiba a Mozilla böngészőiben
Viszonylag nyugodt hetek után ismét újabb biztonsági rés veszélyezteti a Mozilla Alapítvány böngészőit. A hiba nem túlzottan veszélyes, de már több mint hét éve jelen van az ingyenes böngészőkben.
A hiba újbóli felfedezéséről a Secunia biztonsági cég számolt be, amely már tavaly ilyenkor figyelmeztetett a probléma jelenlétére, és már az akkori jelentésben is megjegyezték, hogy a rés hat éve jelen van a Mozilla és a Firefox böngészőben. A frame injection néven ismerté vált módszer elsősorban azon támadók számára lehet hasznos, akik hamis weboldalakon keresztül a felhasználók belépőnevére, illetve jelszavaira pályáznak, és ily módon szeretnének egy kis mellékjövedelemhez jutni.
A hiba először 1998-ban bukkant fel, és a többszöri befoltozást követően újra és újra visszaköszönt az alapítvány böngészőiben (valamint az Internet Explorer, az Opera, a Konqueror, a Safari, illetve a Netscape korábbi verzióiban). A hiba lényege abban rejlik, hogy az érintett böngészők nem ellenőrzik le a cél frame (keret) hovatartozását, így egy hamis weboldalon keresztül a támadók hozzáférhetnek a böngésző egy másik ablakában megnyitott oldalon begépelt adatokhoz.
Az eljárást a Mozilla egyik fejlesztője is ismertette a Firefox böngésző hivatalos fórumán, hozzátéve, hogy a hiba nemcsak a böngésző legújabb, 1.0.4-es verzióját, hanem a fejlesztés alatt álló Deer Park, azaz a Firefox 1.1 Alpha változatát is érinti. Megjegyezte azonban, hogy amennyiben az új hivatkozásokat kizárólag új füleken, és nem ablakokban nyitjuk meg, kiküszöbölhetjük a problémát.
A Firefox honlapja szerint nálunk az egyik legmagasabb a böngésző elterjedtsége
Ez a félmegoldás némi védelmet nyújt, igaz, korántsem megnyugtató azok számára, akik éppen a biztonsági hibák alacsony száma miatt váltottak a nyílt forráskódú böngészőre. A Firefox ugyanis éppen ezzel tudta megfogni a felhasználók nagy részét, és ez adott rá lehetőséget, hogy - egyedüliként az ingyenes böngészők körében - az Internet Explorer komoly vetélytársává váljon. Ezt a növekedést kellőképpen példázza a Onestat áprilisban elkészült felmérése, miszerint a böngészők globális piacán a Firefox aránya meghaladta a 8 százalékot, és rohamosan közelít a 10 százalék felé.
Ez elsősorban azért fontos, mert a konkurens nyílt forráskódú böngészők egyike sem jutott túl a 2 százalékon, míg az Internet Explorer - amely lassan visszaszorulóban van - még mindig bőven 80 százalék feletti arányban uralja a piacot. Az itthoni helyzetbe korábbi cikkünk enged betekintést, amelyből többek között kiderül, hogy a Firefox a magyarországi internetezők körében is egyre népszerűbb, és ez a népszerűség a szaporodó hibák ellenére is töretlen.
A hiba újbóli felfedezéséről a Secunia biztonsági cég számolt be, amely már tavaly ilyenkor figyelmeztetett a probléma jelenlétére, és már az akkori jelentésben is megjegyezték, hogy a rés hat éve jelen van a Mozilla és a Firefox böngészőben. A frame injection néven ismerté vált módszer elsősorban azon támadók számára lehet hasznos, akik hamis weboldalakon keresztül a felhasználók belépőnevére, illetve jelszavaira pályáznak, és ily módon szeretnének egy kis mellékjövedelemhez jutni.
A hiba először 1998-ban bukkant fel, és a többszöri befoltozást követően újra és újra visszaköszönt az alapítvány böngészőiben (valamint az Internet Explorer, az Opera, a Konqueror, a Safari, illetve a Netscape korábbi verzióiban). A hiba lényege abban rejlik, hogy az érintett böngészők nem ellenőrzik le a cél frame (keret) hovatartozását, így egy hamis weboldalon keresztül a támadók hozzáférhetnek a böngésző egy másik ablakában megnyitott oldalon begépelt adatokhoz.
Az eljárást a Mozilla egyik fejlesztője is ismertette a Firefox böngésző hivatalos fórumán, hozzátéve, hogy a hiba nemcsak a böngésző legújabb, 1.0.4-es verzióját, hanem a fejlesztés alatt álló Deer Park, azaz a Firefox 1.1 Alpha változatát is érinti. Megjegyezte azonban, hogy amennyiben az új hivatkozásokat kizárólag új füleken, és nem ablakokban nyitjuk meg, kiküszöbölhetjük a problémát.
A Firefox honlapja szerint nálunk az egyik legmagasabb a böngésző elterjedtsége
Ez a félmegoldás némi védelmet nyújt, igaz, korántsem megnyugtató azok számára, akik éppen a biztonsági hibák alacsony száma miatt váltottak a nyílt forráskódú böngészőre. A Firefox ugyanis éppen ezzel tudta megfogni a felhasználók nagy részét, és ez adott rá lehetőséget, hogy - egyedüliként az ingyenes böngészők körében - az Internet Explorer komoly vetélytársává váljon. Ezt a növekedést kellőképpen példázza a Onestat áprilisban elkészült felmérése, miszerint a böngészők globális piacán a Firefox aránya meghaladta a 8 százalékot, és rohamosan közelít a 10 százalék felé.
Ez elsősorban azért fontos, mert a konkurens nyílt forráskódú böngészők egyike sem jutott túl a 2 százalékon, míg az Internet Explorer - amely lassan visszaszorulóban van - még mindig bőven 80 százalék feletti arányban uralja a piacot. Az itthoni helyzetbe korábbi cikkünk enged betekintést, amelyből többek között kiderül, hogy a Firefox a magyarországi internetezők körében is egyre népszerűbb, és ez a népszerűség a szaporodó hibák ellenére is töretlen.
