Mozilla Firefox: первая уязвимость в наступившем году
[07.01.2005 22:56:00]


Первая уязвимость в этом году для web-браузера Firefox была опубликована на сайте консультантов по безопасности - небезызвестной организации под названием Secunia. Уязвимость обозначена как Mozilla / Mozilla Firefox Download Dialog Source Spoofing (подделка адреса ресурса - источника загружаемого файла) и несёт степень угрозы Less Critical ("Не особо критично").

Суть проблемы: Secunia Research обнаружила уязвимость в Mozilla / Mozilla Firefox, которая может быть использована злоумышленником для сокрытия адреса ресурса - источника загружаемого файла, отображаемого в диалоговом окне Download. Недочёт кроется в некорректном отображении длинных названий доменов третьего, четвёртого и т.д. уровней и длинных адресных строк - всё это поможет хакеру завуалировать отображаемый текст в поле адресной строки. Уязвимость подтверждена для Mozilla 1.7.3 под Linux, Mozilla 1.7.5 под Windows, а также Mozilla Firefox 1.0. Кроме того, могут быть уязвимы и другие версии программных продуктов указанной линейки.

В данный момент "заплаток" для закрытия данной дыры в системе безопасности Mozilla / Mozilla Firefox не существует. Нам рекомендуют внимательно следить за своим поведением и не скачивать файлы с неблагонадёжных и неизвестных web-ресурсов. Со временем в новых версиях web-браузеров Mozilla / Mozilla Firefox данная уязвимость будет устранена в рамках плановой "работы над ошибками".

Стоит отметить, что за 2004 год специалисты Secunia нашли четыре уязвимости в Firefox, причём максимальная степень угрозы оценивалась как "умеренно критично". Конечно, это не идёт ни в какое сравнение с Internet Explorer. Правда, если умножить эти четыре уязвимости на отношение популярности web-браузера Microsoft к популярности Firefox (читай - отношение долей рынка), то мы и получим объяснение тем самым нескольким десяткам "дыр", обнаруженных в Internet Explorer (если быть точными - 34 уязвимости за 2004 год по версии той же Secunia). Получается парадоксальная вещь - пока Firefox мало популярен, он никого не интересует и в меру безопасен. Однако если рекламировать его безопасность и поднять популярность, то это сразу привлечёт внимание хакеров и специалистов по безопасности, и продукт будет более уязвим. Получается замкнутый круг... :)

Впрочем, вернёмся на землю грешную... Специалисты по безопасности считают, что хакеры вряд ли будут эксплуатировать найденную уязвимость Firefox Download Dialog Source Spoofing. Она рассчитана на неопытных пользователей, а их у web-браузера Firefox пока намного меньше, чем в случае с Internet Explorer. С другой стороны, это не является поводом для снижения нашей бдительности...