Vadászat a biztonsági rések után

Amióta elérhetővé vált az Internet Explorer 7, valamint a Firefox 2.0 böngészők végleges verziója, azóta nagy vadászat kezdődött az új szoftverek biztonsági rései után.

Az internetes támadások, illetve csalások legtöbbször a böngészőkön keresztül érik el céljukat. Ezért nem csoda, ha a legújabb Internet Explorer valamint Firefox alkalmazások esetében – azok végleges verzióinak megjelenése után – nagy hajsza kezdődött a biztonsági hibák felfedezésére. Alig néhány órával a böngészők kiadása után már több sebezhetőségről is lehetett hallani. E hibák megvizsgálása után kiderül, hogy azok nem jelentenek nagy kockázatot a felhasználók adataira.

A Secunia az Internet Explorer megjelenése után jelezte, hogy az új böngésző egy olyan sérülékenységet tartalmaz, amely alkalmas lehet adathalász támadások kezdeményezésére. E sebezhetőségről azonban hamar kiderült, hogy az az új böngésző esetében nem jelent problémát, ugyanis a hiba az Outlook Express levelezőszoftvert érinti. A téves riasztást követően a Secunia egy másik sérülékenységről is beszámolt. Ennek kihasználásával a támadók meghamisíthatják a böngészőből felbukkanó ablakokban szereplő címeket, és megtéveszthetik a felhasználókat, akik esetleg emiatt kártékony fájlokat tölthetnek le a számítógépeikre. A biztonsági rést a Microsoft már vizsgálja. Az eddigi hírek szerint a cég megerősítette annak létezését, és elismerte, hogy az URL megjelenítés nem minden esetben megfelelő.

A böngészőkben található hibák keresése a Firefox 2.0 böngésző esetében is nagy erőkkel folyik. Eddig két sebezhetőségre derült fény, amelyeket a Mozilla nem ítélt súlyosnak. Az egyik hiba speciálisan szerkesztett weboldalak megjelenítésekor a böngésző összeomlását okozhatja. Akkor jelentkezhet, amikor egy iframe-en belül nagy mennyiségű szöveget kell megjelenítenie a böngészőnek. Mike Schroepfer, a Mozilla egyik mérnöke szerint ez a probléma nem használható fel webes támadások kezdeményezésére. A Firefox 2.0 másik sebezhetősége úgynevezett cross-scripting támadásokat tesz lehetővé, és a kihasználásához szükséges kód már elérhetővé vált az Interneten. A Mozilla fejlesztői ezt a sérülékenységet jelenleg is vizsgálják.