Критическая уязвимость из-за конфликта браузеров
Специалисты по компьютерной безопасности сообщили об обнаружении новой уязвимости, корни которой растут в единовременном использовании в системе интернет-браузеров Firefox и Internet Explorer. Как отмечают эксперты, оба продукта в одинаковой степени несут ответственность за небезопасность их совместного применения. Они являются сложными решениями, которые не очень хорошо сочетаются друг с другом. Каждое по отдельности может быть безопасно, а вместе — нет. При этом, несмотря на то, что Firefox становится все популярнее, на компьютерах большинства пользователей этого браузера установлен также IE, поставляемый вместе с операционной системой Microsoft Windows.
Суть обнаруженной проблемы заключается в том, что посещение посредством IE вредоносного сайта, который регистрирует обработчик URI (uniform resource identifier handler) "firefoxurl://" позволяет браузеру взаимодействовать с определенными веб-ресурсами, в конечном итоге делая компьютер пользователя управляемым дистанционно. Для проникновения в систему кода, исполняемого в Firefox, злоумышленниками может использоваться chrome-контекст — элементы интерфейса браузера, которые создают рамку вокруг отображаемых страниц.
Как отмечают эксперты, обработчик URI должен быть выполнен тщательнее, так как Windows не может знать, какие входные данные потенциально опасны для каждого приложения. Например, откуда Windows может быть известно, что строка chrome опасна для Firefox? Во избежание риска системным администраторам рекомендуется снять регистрацию обработчика URI firefoxurl или удалить его, или же изменить способ приема браузером Firefox данных chrome.
NewsFactor
Суть обнаруженной проблемы заключается в том, что посещение посредством IE вредоносного сайта, который регистрирует обработчик URI (uniform resource identifier handler) "firefoxurl://" позволяет браузеру взаимодействовать с определенными веб-ресурсами, в конечном итоге делая компьютер пользователя управляемым дистанционно. Для проникновения в систему кода, исполняемого в Firefox, злоумышленниками может использоваться chrome-контекст — элементы интерфейса браузера, которые создают рамку вокруг отображаемых страниц.
Как отмечают эксперты, обработчик URI должен быть выполнен тщательнее, так как Windows не может знать, какие входные данные потенциально опасны для каждого приложения. Например, откуда Windows может быть известно, что строка chrome опасна для Firefox? Во избежание риска системным администраторам рекомендуется снять регистрацию обработчика URI firefoxurl или удалить его, или же изменить способ приема браузером Firefox данных chrome.
NewsFactor
