2500 dolláros hiba volt a Mozilla weboldalán

A Mozilla 2500 dollárral jutalmazta azt a kutatót, aki három biztonsági rést tárt fel a bővítmények letöltésére szolgáló weboldalon.
 

A Mozilla már hosszabb ideje pénzjutalommal is elismeri azon kutatók munkáját, akik első kézből jeleznek számára biztonsági réseket a különféle szoftvereiben, illetve a webes platformjain. Legutóbb Ashar Javed, a Hyundai AutoEver Europe biztonsági tesztelője élt a lehetőséggel, és jelentett be három sérülékenységet. Ezek mindegyike a Mozilla azon weboldalát érintette, amelyek bővítmények letöltését teszik lehetővé. 

A három sérülékenység közül a legtöbb kockázatot jelentő hibát a fejlesztők már orvosolták. Ez a biztonsági rés a kiegészítőket összefogó, Gyűjtemények nevű szolgáltatásban volt kimutatható. Amikor egy felhasználó létrehoz egy saját gyűjteményt, akkor meg kell adnia a nevet, egy leírást, és meg kell határoznia azon bővítményeket, amiket a gyűjteménybe akar elhelyezni. A problémát ezúttal a név mező nem kellő szintű ellenőrzése okozta. 

Ashar arra jött rá, hogy a Mozilla nem szűri ki a név megadása után a "<" karaktereket. Ezt kihasználva pedig tetszőleges JavaScript kódok válhattak lefuttathatóvá. A kutató hangsúlyozta, hogy olyan kódok is készíthetők lettek volna, amik automatizált vírusterjesztést is elősegíthettek volna. Ehhez a támadóknak nem kellett volna mást tenniük, mint egy kártékony weboldalra vezetni a felhasználókat. Ezt pedig könnyedén megtehették akár úgy is, hogy fórumokon elkezdték reklámozni a gyűjteményeiket. 

A Mozilla december 26-án értesült a sérülékenységről, és január 7-én szüntette meg azt. Majd 2500 dolláros jutalomban részesítette a hibát bejelentő szakembert. A másik két sérülékenység szintén XSS-problémákra vezethető vissza, de azok kevesebb kockázatot hordoznak. Ezek a biztonsági rések a legutóbbi információk szerint még javítatlanok.

Ashar Javed nem ismeretlen a biztonsági szakma előtt. A szakember tavaly októberben is felhívta magára a figyelmet, amikor a YouTube Gaming weboldalon tárt fel egy XSS-sérülékenységet. Akkor a Google 3000 dollárral honorálta a munkáját.