За винятком фішингу та шахрайства, завантаження HTML-вкладення та відкриття його локально у Вашому браузері ніколи не вважалося серйозною загрозою, поки дослідник безпеки не продемонстрував техніку, яка дозволила б зловмисникам красти файли, що зберігаються на комп’ютері жертви.

Про це пише The Hacker News.

Барак Тавілі, дослідник безпеки додатків, поділився своїми висновками з The Hacker News, де він успішно розробив нову доказову концепцію атаки проти останньої версії Firefox, використовуючи 17-річну відому проблему в браузері.

Атака скористається тим, як Firefox реалізує політику ідентичного походження (SOP) для URI схеми “файл://” (Uniform Resource Identifiers), що дозволяє будь-якому файлу в папці в системі отримувати доступ до файлів в тій же папці і підпапки.

Оскільки політика ідентичного походження для файлової схеми не була чітко визначена в RFC IETF, кожен браузер і програмне забезпечення реалізували його інакше – деякі розглядають всі файли в папці того ж походження, тоді як інші розглядають кожен файл, як інше.

Тавілі повідомив The Hacker News, що Firefox є єдиним основним браузером, який не змінює своєї невпевненої реалізації політики з походженням (SOP) для File URI Scheme з часом, а також підтримує Fetch API через файловий протокол.

Незважаючи на те, що слабкість впровадження у Firefox вже в минулі роки обговорювалася в Інтернеті знову і знову, це перший випадок, коли хтось продемонстрував повноцінну атаку PoC, що ставить під загрозу безпеку і конфіденційність мільйонів користувачів Firefox.

У своєму сценарії атаки PoC, Тавілі показав, як зловмисник може легко викрасти таємні ключі SSH жертв Linux, якщо користувач зберігає завантажені файли в каталозі user, який також містить ключі SSH у підпапці.

Дослідник відповідально повідомив про свої нові висновки у компанію Mozilla, представник якої відповів: “Наша реалізація політики з”однаковим походженням” дозволяє кожному URL-адресу файлу:// отримати доступ до файлів в тій же папці і вкладених папках”.

Це свідчить про те, що в даний час компанія, схоже, не планує виправляти цю проблему у своєму веб-переглядачі найближчим часом.

Говорячи про альтернативний підхід до вирішення цієї проблеми, Тавілі сказав: “Я думаю, що це має бути вирішене на стороні RFC, яка повинна примусити користувача-агентів (браузери) реалізувати найбільш безпечний підхід, і не дозволяти розробникам робити такі помилки, які залишають клієнта під впливом таких атак.

До речі, Microsoft випустила оновлення Android-додатку “Диспетчер Вашого телефону”, який дозволяє взаємодіяти з ПК на Windows за допомогою смартфону на Android.

Також уразливість в офіційному додатку відомого циркового колективу Cirque du Soleil виявили фахівці антивірусної компанії ESET.

Окрім цього, Кіберкомандування США (United States Cyber Command) попередило про експлуатацію кіберзлочинцями уразливості в поштовому клієнті Outlook з метою впровадження шкідливого програмного забезпечення в урядові мережі.

Автор: Максим Побокін