2500 dolláros hiba volt a Mozilla weboldalán

A Mozilla 2500 dollárral jutalmazta azt a kutatót, aki három biztonsági rést tárt fel a bővítmények letöltésére szolgáló weboldalon.
 
A Mozilla már hosszabb ideje pénzjutalommal is elismeri azon kutatók munkáját, akik első kézből jeleznek számára biztonsági réseket a különféle szoftvereiben, illetve a webes platformjain. Legutóbb Ashar Javed, a Hyundai AutoEver Europe biztonsági tesztelője élt a lehetőséggel, és jelentett be három sérülékenységet. Ezek mindegyike a Mozilla azon weboldalát érintette, amelyek bővítmények letöltését teszik lehetővé. 

A három sérülékenység közül a legtöbb kockázatot jelentő hibát a fejlesztők már orvosolták. Ez a biztonsági rés a kiegészítőket összefogó, Gyűjtemények nevű szolgáltatásban volt kimutatható. Amikor egy felhasználó létrehoz egy saját gyűjteményt, akkor meg kell adnia a nevet, egy leírást, és meg kell határoznia azon bővítményeket, amiket a gyűjteménybe akar elhelyezni. A problémát ezúttal a név mező nem kellő szintű ellenőrzése okozta. 

Ashar arra jött rá, hogy a Mozilla nem szűri ki a név megadása után a "<" karaktereket. Ezt kihasználva pedig tetszőleges JavaScript kódok válhattak lefuttathatóvá. A kutató hangsúlyozta, hogy olyan kódok is készíthetők lettek volna, amik automatizált vírusterjesztést is elősegíthettek volna. Ehhez a támadóknak nem kellett volna mást tenniük, mint egy kártékony weboldalra vezetni a felhasználókat. Ezt pedig könnyedén megtehették akár úgy is, hogy fórumokon elkezdték reklámozni a gyűjteményeiket. 

A Mozilla december 26-án értesült a sérülékenységről, és január 7-én szüntette meg azt. Majd 2500 dolláros jutalomban részesítette a hibát bejelentő szakembert. A másik két sérülékenység szintén XSS-problémákra vezethető vissza, de azok kevesebb kockázatot hordoznak. Ezek a biztonsági rések a legutóbbi információk szerint még javítatlanok.

Ashar Javed nem ismeretlen a biztonsági szakma előtt. A szakember tavaly októberben is felhívta magára a figyelmet, amikor a YouTube Gaming weboldalon tárt fel egy XSS-sérülékenységet. Akkor a Google 3000 dollárral honorálta a munkáját.
Vélemények
 
  1. 4

    A Cisco Email Security Appliance legújabb sebezhetősége jogosulatlan rendszerhozzáférést biztosíthat.

  2. 3

    Az OpenSSL két sérülékenységéről hullt le a lepel.

  3. 3

    A HDDCryptor zsaroló program nem kizárólag az értékes fájlokat teszi tönkre, hanem a Windows-t is. Aztán nekilát a zsarolásnak.

 
Partnerhírek
Találkozzunk idén is az ITBN-en!

Idén 11. alkalommal, 2016. szeptember 27-28-án kerül megrendezésre az ITBN CONF-EXPO a Groupama Arénában. A rendezvény fő témája a kiberéberség lesz.

Az év információbiztonsági szak- és diplomadolgozata

A Hétpecsét Információbiztonsági Egyesület kihirdette az „Év információbiztonsági szak- és diploma-dolgozata” pályázat nyertesét.

hirdetés
Közösség
1