IE и Firefox вместе создают «критическую» угрозу для безопасности
Использование Firefox в сочетании с Internet Explorer на одном и том же компьютере делает систему уязвимой, утверждают специалисты по безопасности. Пользователи, у которых наряду с IE установлен Firefox версии 2.0 или выше, подвергаются повышенному риску.
Проблемы начинаются с посещения посредством IE вредоносного сайта, который регистрирует обработчик URI (uniform resource identifier handler) «firefoxurl://» позволяющий браузеру взаимодействовать с определенными веб-ресурсами. В конечном итоге система пользователя может оказаться управляемой дистанционно.
Специалист по безопасности Тор Лархольм, обнаруживший эту проблему, и компания Symantec обвиняют главным образом IE, однако главный технолог Secunia Томас Кристенсен считает виновником Firefox 2.0. «Вообще-то виноваты оба, — прокомментировал директор Symantec Security Response Center Оливер Фридрихс. — Это два чрезвычайно сложных приложения, которые не очень хорошо сочетаются друг с другом. Каждое по отдельности может быть безопасно, а вместе — нет». Фридрихс отметил, что хотя Firefox, у которого в прошлом году вышла версия 2, становится все популярнее, на компьютерах большинства пользователей этого браузера установлен также IE, поставляемый вместе с операционной системой Windows.
Для инъекции в систему пользователя кода, исполняемого в Firefox, злоумышленник может использовать chrome-контекст — элементы интерфейса браузера, которые создают рамку вокруг отображаемых страниц. «Обработчик URI должен быть выполнен тщательнее, так как Windows не может знать, какие входные данные потенциально опасны для каждого приложения, — пояснил Кристенсен. — Например, откуда Windows может быть известно, что строка chrome опасна для Firefox?» Во избежание риска он рекомендует системным администраторам снять регистрацию обработчика URI firefoxurl или удалить его, или же изменить способ приема браузером Firefox данных chrome.
12 июля, 2007
*