Groźna luka w Firefoksie?

Osoby tworzące szkodliwe oprogramowanie umieszczane na stronach internetowych oraz przeprowadzające ataki phishingowe często korzystają z tzw. zaciemniania adresów URL. Ma to na celu zmylić ofiarę i nie dopuścić aby spostrzegła ona, że znajduje się na innej stronie internetowej niż jest przekonana. Obecnie wśród ataków webowych dużą popularnością cieszą się elementy frame i iframe, które pozwalają na jednej stronie internetowej umieścić zawartość pochodzącą z innej strony. Wykorzystanie ich wraz z ukrywaniem adresów pozwala często na dosyć łatwe przeprowadzanie ataków. Przeglądarki internetowe posiadają wbudowane zabezpieczenia mające wykrywać takie działania. Takie zabezpieczenie jest też w Firefoksie. Okazało się jednak, że nie radzi sobie ono dobrze z atakami wykorzystującymi iframe i frame jeśli dodatkowo wykorzystywane adresy URL są odpowiednio ukryte. Przeglądarka Mozilli nie wyświetla wtedy okienka informującego o próbie ataku. Błąd ten występuje we wszystkich obecnie używanych wersjach Firefoksa.

Luka została zauważona ponad dwa miesiące temu i wciąż czeka na załatanie.

Aktualizacja, 18.08.2010 01:03

Choć opisana luka odbiła się pewnym echem, warto zaznaczyć, że nie wszyscy uważają ją za groźną. Znany specjalista od zabezpieczeń, Michał 'lcamtuf' Zalewski uważa, że problem ma w rzeczywistości znaczenie marginalne.