2500 dolláros hiba volt a Mozilla weboldalán

A Mozilla 2500 dollárral jutalmazta azt a kutatót, aki három biztonsági rést tárt fel a bővítmények letöltésére szolgáló weboldalon.
hirdetés
A Mozilla már hosszabb ideje pénzjutalommal is elismeri azon kutatók munkáját, akik első kézből jeleznek számára biztonsági réseket a különféle szoftvereiben, illetve a webes platformjain. Legutóbb Ashar Javed, a Hyundai AutoEver Europe biztonsági tesztelője élt a lehetőséggel, és jelentett be három sérülékenységet. Ezek mindegyike a Mozilla azon weboldalát érintette, amelyek bővítmények letöltését teszik lehetővé. 

A három sérülékenység közül a legtöbb kockázatot jelentő hibát a fejlesztők már orvosolták. Ez a biztonsági rés a kiegészítőket összefogó, Gyűjtemények nevű szolgáltatásban volt kimutatható. Amikor egy felhasználó létrehoz egy saját gyűjteményt, akkor meg kell adnia a nevet, egy leírást, és meg kell határoznia azon bővítményeket, amiket a gyűjteménybe akar elhelyezni. A problémát ezúttal a név mező nem kellő szintű ellenőrzése okozta. 

Ashar arra jött rá, hogy a Mozilla nem szűri ki a név megadása után a "<" karaktereket. Ezt kihasználva pedig tetszőleges JavaScript kódok válhattak lefuttathatóvá. A kutató hangsúlyozta, hogy olyan kódok is készíthetők lettek volna, amik automatizált vírusterjesztést is elősegíthettek volna. Ehhez a támadóknak nem kellett volna mást tenniük, mint egy kártékony weboldalra vezetni a felhasználókat. Ezt pedig könnyedén megtehették akár úgy is, hogy fórumokon elkezdték reklámozni a gyűjteményeiket. 

A Mozilla december 26-án értesült a sérülékenységről, és január 7-én szüntette meg azt. Majd 2500 dolláros jutalomban részesítette a hibát bejelentő szakembert. A másik két sérülékenység szintén XSS-problémákra vezethető vissza, de azok kevesebb kockázatot hordoznak. Ezek a biztonsági rések a legutóbbi információk szerint még javítatlanok.

Ashar Javed nem ismeretlen a biztonsági szakma előtt. A szakember tavaly októberben is felhívta magára a figyelmet, amikor a YouTube Gaming weboldalon tárt fel egy XSS-sérülékenységet. Akkor a Google 3000 dollárral honorálta a munkáját.
   
Biztonságportál Prémium belépés
Gyorssegély
 
Antivírus: Avast |  AVG |  Malwarebytes | 
Tűzfal: Comodo |  ZoneAlarm
Mentés: Cobian Backup
Online: ESET |  Bitdefender |  Norton |  Panda
hirdetés

Prémium hírcsatorna

  1. Az ImageMagick egy súlyos biztonsági rést tartalmaz.

  2. A Ransomcrypt trójai újabb variáns formájában terjed. A károkozó továbbra is értékes fájlokat rombol.

  3. A Cisco WebEx Meeting Center egy közepes veszélyességű hiba miatt válhat kiszolgáltatottá.

  4. A phpMyAdmin fejlesztői több sebezhetőséget szüntettek meg.

  5. A fájlokat titkosító Waltrix trójai a Windows asztalának háttérképét cseréli le annak érdekében, hogy közölhesse a követeléseit.

  6. A Cisco IOS XE/XR esetében egy szolgáltatásmegtagadásra lehetőséget adó hibára derült fény.

  7. A Google jelentős biztonsági frissítést adott ki a Chrome böngészőjéhez.

  8. A Bucbi nevű zsaroló program öt bitcoint követel azért, hogy a tönkretett fájlok helyreállíthatóvá váljanak.

  9. A Cryptolocker zsaroló program anonim módon próbálja behajtani a követeléseit a felhasználóktól.

  10. A Tronariv trójai elektronikus levelek mellékletében terjed, és a fertőzés után számos nemkívánatos művelet végrehajtására válik alkalmassá.

Partnerhírek

  1. A zsarolóvírusok újabb hulláma érte el Európát, a szomszédos országok most nagyobb veszélyben vannak.

  2. 8n

    Az ESET kutatói felfedeztek egy olyan kártékony kódot, amely legalább 2008 óta elkerülte az internetbiztonsági szakemberek figyelmét.

  3. 19n

    Az ESET kiadta a legfrissebb vírustoplistáját, amelyen érdekes változások történtek.

  4. 28n

    Az ESET szakértői a zsarolóvírusok működési mechanizmusa és a megelőzési folyamatok lehetőségei mellett megvizsgálták az újfajta kiberbűnözési trend több aspektusát is.

  5. 1h

    A KÜRT fejlesztői műhelyében született technológiák és termékek lehetővé tették, hogy a hazai piac egyik legsikeresebb információbiztonsági cége olyan nemzetközi piacokra is kiléphessen, mint például az USA vagy Kína

  6. 1h

    2016 márciusában nemcsak visszatért, de át is vette a vezetést a Nemucod trójai, a zsarolóvírusok legfőbb terjesztője.

  7. 1h

    A folyamatosan növekvő és egyre kifinomultabb támadások miatt, valamint a biztonságtudatos gondolkodás erősítése érdekében az ESET és a KÜRT biztonságtechnológiai cég közös szakmai útmutatással nyújt segítséget.

  8. 1h

    Megjelent a Balabit tevékenység felügyeleti megoldásának legfrissebb verziója, mely mostantól a Microsoft nyilvános felhő környezetében is képes a felhasználói aktivitások valós idejű monitorozására.

  9. 2h

    Az ESET biztonságtechnológiai cég kutatói a Linuxos rendszereket támadó Kaiten nevű kártevő új, továbbfejlesztett változatát fedezték fel.

  10. 2h

    2016 februárjában is a Bundpil féreg okozta a legtöbb fertőzést, és immár több mint fél éve vezeti a vírusok toplistáját.

hirdetés
Isidor Club
 
 

Biztonságportál Prémium

Isidor Biztonsági Központ