Ukazały się informacje o nowych lukach Zero Day odkrytych w przeglądarkach Internet Explorer 8 oraz Mozilla Firefox 3.6. Odkrywca obu luk opublikował również odpowiednie exploity, pozwalające na zdalne zakłócenie pracy obu popularnych programów. Z punktu widzenia końcowego użytkownika, atak powoduje nieodwracalną utratę kontroli nad przeglądarką (ang. Denial of Service) oraz potencjalną utratę danych edytowanych w trybie online.
Asheesh kumar Mani Tripathi odkrył w Internet Explorerze 8 błąd obecny w kontrolce ActiveX history.go. Luka pozwala intruzowi na wykonanie dowolnego kodu, alokację pamięci oraz awaryjne zakończenie pracy samej przeglądarki. Przygotowany przez HCSL, przykładowy exploit Proof of Concept można pobrać pod tym adresem. Uwaga! Ta specjalnie spreparowana strona internetowa, po jej otwarciu w przeglądarce IE8, spowoduje nieustanne wywoływanie systemowego polecenia ipconfig oraz całkowitą utratę kontroli nad przeglądarką.
Asheesh odkrył również podobny błąd w Firefoksie 3.6, obecny w funkcji put window.printer(). Luka pozwala intruzowi na całkowite zakłócenie pracy przeglądarki. Przygotowany przez HCSL, przykładowy exploit Proof of Concept można pobrać pod tym adresem. Uwaga! Otwarcie tej strony internetowej w przeglądarce Firefox 3.6, spowoduje nieustanne wywoływanie funkcji drukowania oraz całkowitą utratę kontroli nad przeglądarką.
Podsumowując, do udanego wykonania obu ataków, wystarczające jest więc zwabienie użytkownika na specjalnie przygotowaną stronę internetową.
Przedstawione przykłady stanowią kolejny dowód na to, że niezależnie od rodzaju używanej przeglądarki internetowej, nigdy nie możemy liczyć na w pełni bezpieczną oraz stabilną pracę. Natomiast sam proces odkrywania nowych luk oraz ich łatania przez twórców oprogramowania przypomina nieustanny wyścig zbrojeń i nie daje żadnej nadziei na jego rychłe zakończenie.
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Dodaj komentarz