Piotr Konieczny

konsultant ds. bezpieczeństwa, podróżnik,
hobbystycznie fuksiarz i gadżeciarz
szkot, prawie spadochroniarz...
nienawidzi zielonego.

« wszystkie wpisy |

Czwartek, 08 czerwca 2006 :: 13:18:52
bugs, DI, IT, Opera, porady, security

Stare (nowe) dziurki w IE i Firefox

Jak pisze redakcyjny kolega, Marcin Maj, odkryto multiplatformową dziurę umożliwiającą kradzież danych z przeglądarek Internet Explorer i Firefox. (Niewykluczone, że i Opera jest podatna, ale kod proof-of-concept nie został dla niej przedstawiony).

Luka odnosi się do sposobu w jaki przeglądarki obsługują zdarzenia 'OnKeyDown' w skryptach języka JavaScript. Atakujący może dzięki niej przechwycić dane, które użytkownik wpisuje np. w formularz płatności elektronicznej do pola, które wydaje się całkiem bezpieczne. źródło: Dziennik Internautów

A tu znajdują się kody proof-of-concept dla FF i IE (Moja strona dot. exploitów dla przeglądarek chwilowo leży... ale na dniach powinna wrócić z zaświatów)

Przypominam jeszcze, że jakiś czas temu, w sieci przedstawiono kod wspomagany AJAKSEM (hehe, ale to się fajnie odmienia), który pozwalał na przechwytywanie haseł z formularza logowania. Wdzięczny będę za przypomnienie, gdzie on się podział...

UPDATE:
Jak słusznie zauważył Carstein (w komentarzach), jest jeszcze jedna świeża luka dla duetu Firefox i Internet Explorer (i mamy także proof-of-concept).

Dziura z wykorzystaniem zagnieżdzonych tagów <marquee> została opisana na Bugtraq (początkowo dla Firefoksa), jednak Jarosław Sajko machnął czarodziejską różdżka i wyłożył także Internet Explorera :-)

• Następny post: Wirtualny Pulpit dla Windows
• Poprzedni post: Pomocy! Szukam strony dla dzieci...

 

Chcesz być informowany o kolejnych wpisach na ten temat?
Kanał RSS: kliknij tutaj. Subskrybcja poprzez e-mail: kliknij tutaj.

 

« reszta wpisów | • trackback | ‡ torturuj posta!

Komentarze:

1. Carstein Czwartek, 08 czerwca 2006, 13:21:16
 

Warto też wspomnieć o nowym DoSie na IE oraz FF (a także na eudorę). Zagnieżdzone tagi <marque> blokują przeglądarke.

 
2. Jajcuś Czwartek, 08 czerwca 2006, 13:49:31
 

<marque>??? Powinni już dawno tego zabronić ;-)

 
3. Carstein Czwartek, 08 czerwca 2006, 14:06:18
 

Wielu rzeczy powinni zabronić.

 
4. Jurgi/Tristesse/Atari8.Info Poniedziałek, 12 czerwca 2006, 14:15:21
 

No to użytkownicy Opery mogą znowu (na razie) chwalić się bezpieczeństwiem swojej przeglądarki…
A ja wciąż zastanawiam się, na ile owo bezpieczeństwo bierze się z jakości kodu, a na ile ze stosunkowo niewielkiej popularności.

 
5. Jakub81 Piątek, 16 czerwca 2006, 12:38:52
 

A co za różnica? Bezpieczeństwo to bezpieczeństwo. Wydaje się jednak, że w Operze podchodzi się dużo bardziej "paranoicznie" do kwestii bezpieczeństwa (i dobrze).

 
6. Andrzej Kapica Piątek, 16 czerwca 2006, 21:49:38
 

Ja właśnie dla tego używam Opery..
Nawet jeśli to paranoja, ale mógłbym na każdą strone z crackami wejść i sie nie bac. w koncu mam jeszcze kasperskiego:D
Nawet jeśli to z powodu braku popularności to nie żałouje wcale bo w końcu wszystkie strony wyświetlają się poprawnie:D
A teraz jak wyjdzie 9 to juz i możliwości będą większe:D
koniec z reklamami:D

 

Dodaj komentarz:

Wyślij pustą wiadomość, aby śledzić komentarze przez bota.
Komentarze są własnością osób komentujących.
Właściciel bloga nie ponosi za nie odpowiedzialności.
Komentarze nie na temat będą usuwane.

Ofiara

Jeśli powyższy wpis przydał Ci się w jakiś sposób,

autorowi :-)

Czytelnicy:

« wszystkie wpisy