Uwaga na rozszerzenia do Firefoksa

[05-04-2007]

www.gnucitizen.org/blog/firebug-goes-evil

Nie jest to pierwsza tego typu luka, i z całą pewnością nie ostatnia. Najostrożniejsi wyłączyli już w przeglądarkach wtyczki, teraz czas na rozszerzenia…

Aktualizacja: http://larholm.com/2007/04/06/more-0day-in-firebug/

Komentarze

1. Riddle | 05 kwi 2007 19:42

   Bez przesady, przecież Firebuga od razu naprawili. :)

2. Łukasz Pilorz | 06 kwi 2007 00:45

   Przypuszczam, że to dopiero początek polowania na tego typu luki. Szczególnie ostrożnie podchodziłbym do rozszerzeń tworzonych przez serwisy internetowe – w tym przypadku znalezienie luki XSS w serwisie, i analogicznej w rozszerzeniu, pozwoliłoby przeprowadzić szybki i bardzo skuteczny atak nakierowany na konkretną grupę użytkowników.

   Każde rozszerzenie, tak samo jak każda wtyczka, to zwiększenie obszaru potencjalnego ataku, i uzależnienie bezpieczeństwa przeglądarki od obcego kodu.

   Podobne problemy, jak Firebug, miał wcześniej Sage: http://michaeldaw.org/md-hacks/rss-injection-in-sage-part-2/

Leave a Comment

Name (required)

Mail (will not be published) (required)

Website