Firefox «на службе» фишеров: кража реквизитов

Используя функцию Firefox, позволяющую запрашивать отдельные файлы из ZIP-архивов, злоумышленники могут обойти проверку вредоносного контента на популярных сайтах, утверждает ИБ-специалист Петко Петков (Petko Petkov).

По утверждению г-на Петкова, уязвимость существует уже почти год, она описана в базе данных уязвимостей Mozilla, проекте Bugzilla. После публикации в блоге ею заинтересовался US-CERT и выпустил собственное уведомление, сообщает Heise-Security.co.uk.

Атака межсайтового скриптинга – выполнения JavaScript-кода с одного сайта в контексте другого – в данном случае не является недостатком Firefox и может быть вызвана отсутствием проверки zip-файлов, допустимых к загрузке на популярных ресурсах, например, MySpace.

Протокол jar позволяет обратиться к файлу в одноименном Java-архиве, который, по сути, является обычным zip-файлом. Злоумышленник может загрузить zip-архив, содержащий вредоносный файл, например, на MySpace, и создать ссылку на этот файл, например, jar:http://site.com/archive.jar!/evil.htm. При переходе по ссылке файл evil.htm выполнится в контексте MySpace. Проблема заключается в том, что крупные сайты социальных сетей, как правило, не проверяют содержимое архивов, загруженных пользователем.

©  CNews