Súlyos biztonsági rés a Firefoxon

Milkovits Gábor, 2005. szeptember 11. 19:04
Tom Ferris szoftverbiztonsági szakértő egy olyan súlyos biztonsági rést talált a Firefox böngészőn, amelynek kihasználásával a támadók észrevétlenül rosszindulatú kódokat futtathatnak a megtámadott számítógépeken.
A rés a Firefoxnak (és a Mozilla Suite csomag böngészőjének) az ékezetes címeket (IDN) kezelő alkalmazásán található, és habár egyelőre nem jelentettek a hibát kihasználó támadást, a Mozilla az IDN funkció ideiglenes kikapcsolását ajánlja a felhasználóknak. Ezt vagy úgy tehetik meg, hogy letöltik a http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.6/patches/307259.xpi címen található átmeneti foltot, vagy pedig manuálisan járnak el. Ez utóbbi esetben először az "about:config" szöveget kell a címsorba beírni, utána pedig a Szűrőhöz tartozó sorba írjuk azt, hogy "network.enableIDN". Ezután a Szűrő sora alatt megjelenő teljes szöveget jelöljük ki, majd nyomjunk Entert, vagy kattintsunk még egyet az egérrel úgy, hogy a sor végén a "false" szó legyen látható.

A Mozilla azoknak ajánlja a megoldás ideiglenes kikapcsolását, akik ékezetes címeket is használnak böngészőjükön, mivel csak ezek a felhasználók vannak veszélyben. Az alapítvány részéről úgy nyilatkoztak, hogy a hibát az új Firefox verzió, az 1.5 második béta tesztváltozatában tervezik kijavítani. Amennyiben ez így alakul, akkor az október 5-re kiadni tervezett Firefox 1.5 Beta 2-vel lehet majd Firefoxszal ismét biztonságosan böngészni az ékezetes domainek között is. Egyelőre nem tudni, hogy azok, akik nem szeretnek béta szoftvereket használni, vajon a mostani 1.0-hoz is kapnak-e biztonságos IDN használatot biztosító javítófoltot, vagy pedig meg kell várniuk a Firefox 1.5 év vége felé megjelenő végleges verzióját.