2500 dolláros hiba volt a Mozilla weboldalán

A Mozilla 2500 dollárral jutalmazta azt a kutatót, aki három biztonsági rést tárt fel a bővítmények letöltésére szolgáló weboldalon.
 
hirdetés
A Mozilla már hosszabb ideje pénzjutalommal is elismeri azon kutatók munkáját, akik első kézből jeleznek számára biztonsági réseket a különféle szoftvereiben, illetve a webes platformjain. Legutóbb Ashar Javed, a Hyundai AutoEver Europe biztonsági tesztelője élt a lehetőséggel, és jelentett be három sérülékenységet. Ezek mindegyike a Mozilla azon weboldalát érintette, amelyek bővítmények letöltését teszik lehetővé. 

A három sérülékenység közül a legtöbb kockázatot jelentő hibát a fejlesztők már orvosolták. Ez a biztonsági rés a kiegészítőket összefogó, Gyűjtemények nevű szolgáltatásban volt kimutatható. Amikor egy felhasználó létrehoz egy saját gyűjteményt, akkor meg kell adnia a nevet, egy leírást, és meg kell határoznia azon bővítményeket, amiket a gyűjteménybe akar elhelyezni. A problémát ezúttal a név mező nem kellő szintű ellenőrzése okozta. 

Ashar arra jött rá, hogy a Mozilla nem szűri ki a név megadása után a "<" karaktereket. Ezt kihasználva pedig tetszőleges JavaScript kódok válhattak lefuttathatóvá. A kutató hangsúlyozta, hogy olyan kódok is készíthetők lettek volna, amik automatizált vírusterjesztést is elősegíthettek volna. Ehhez a támadóknak nem kellett volna mást tenniük, mint egy kártékony weboldalra vezetni a felhasználókat. Ezt pedig könnyedén megtehették akár úgy is, hogy fórumokon elkezdték reklámozni a gyűjteményeiket. 

A Mozilla december 26-án értesült a sérülékenységről, és január 7-én szüntette meg azt. Majd 2500 dolláros jutalomban részesítette a hibát bejelentő szakembert. A másik két sérülékenység szintén XSS-problémákra vezethető vissza, de azok kevesebb kockázatot hordoznak. Ezek a biztonsági rések a legutóbbi információk szerint még javítatlanok.

Ashar Javed nem ismeretlen a biztonsági szakma előtt. A szakember tavaly októberben is felhívta magára a figyelmet, amikor a YouTube Gaming weboldalon tárt fel egy XSS-sérülékenységet. Akkor a Google 3000 dollárral honorálta a munkáját.
Vélemények
 
  1. 4

    Az OpenSSL komolyabb kockázatok felvető sebezhetőség miatt szorul frissítésre.

  2. 3

    A Windows egyik rendszerfájlja kapcsán egy sebezhetőségre derült fény.

  3. 3

    A Cisco Email/Web Security Appliance egy-egy biztonsági frissítést kapott.

 
Partnerhírek
​Flash Player frissítésnek álcázott androidos trójai

Az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Agent.JI trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjed.

Az ESET elnyerte a 100. Virus Bulletin díjat

Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100-at egyetlen másik termék sem kapott még a minősítő szervezettől.

hirdetés
Közösség
1