7 éves hiba fenyegeti a Mozilla böngészőket

Nemcsak a Firefox böngészőt, hanem más Mozilla Foundation által fejlesztett alkalmazásokat is érint az a sebezhetőség, amelyről a napokban számoltak be. Először hét éve – a „hazai Internet” hőskorában – vált ismertté az a sebezhetőség, aminek révén egy támadó ártalmas tartalmat helyezhet el úgy, hogy az egy megbízható website részeként tűnik fel az internetező monitorán. Természetesen ki más számolt volna be most a hibáról, mint a dán, IT-biztonsággal foglalkozó Secunia.

Maga a sérülékenység az érintett szoftverek keretkezelési módszereiben rejlik. A keretek (avagy frame-ek) lehetővé teszik, hogy a webes tartalmak egy weboldalon külön zónákban jelenjenek meg – tipikus példa erre, amikor a menü valamelyik oldalon „el van szeparálva” a másik keretben megjelenített tartalomtól. A probléma abból adódik, hogy az 1.7.x Mozilla, az 1.x Firefox és a 0.x Camino szoftverek nem ellenőrzik egy keret megjelenítésénél, hogy az vajon az eredeti website-ról származik-e, vagy valahonnan máshonnan.

A Secunia mérsékelten kritikusnak minősítette a sebezhetőséget, amelynek révén például banki oldalakon lehet „álbeléptető” frame-et megjeleníteni. Az ilyen jellegű sebezhetőséget egyébként az angol terminológiában spoofingnak (becsapásnak) nevezik. Nagyon egyszerűen megvédhetjük magunkat ettől – a javítás megjelenéséig -, ha nem nyitunk meg egyszerre biztonságos és nem biztonságos oldalakat. Ha az online banki műveleteket a felhasználó csak úgy végzi el, hogy egyetlen böngészőablak van megnyitva, akkor nem eshet áldozatául ennek a támadási formának.