Jak donosi bloger Ronald van den Heetkamp, dopiero co wydany Firefox 2.0.0.12 jest podatny na atak. Obwinia też twórców za zbyt lekkie podchodzenie do kwestii bezpieczeństwa.
Błąd polega na tym, że korzystając ze schematów 'view-source:’ i 'resource:’ możliwe jest odczytanie dowolnego pliku znajdującego się w katalogu głównym Firefoksa. To natomiast umożliwia odcztanie dowolnych jego ustawień, w tym konfiguracji sieci, ciasteczek, historii przeglądanych stron, etc.
Aktualizacja: jak podaje shaver.off.net nie jest jednak na szczęście możliwe uzyskanie dostępu do prywatnych danych.
Do czasu wydania poprawki polecana jest instalacja wtyczki NoScript. Zaaplikowanie następującego kodu pozwoli sprawdzić, czy nadal jesteśmy podatni na atak:
<script> /* @name: Firefox <= 2.0.0.12 information leak pOc @date: Feb. 07 2008 @author: Ronald van den Heetkamp @url: http://www.0x000000.com */ pref = function(a,b) { document.write( a + ' -> ' + b + '<br />'); }; </script> <script src="view-source:resource:///greprefs/all.js"></script>
Dodaj komentarz