Через браузер IE можна виконати довільний код у Firefox
19:36 17.08.2007Деякий час тому, була виявлена цікава уразливість в IE, що дозволяла виконати довільний код у Firefox. Mozilla вже випустила оновлення для Firefox (в версії 2.0.0.5), що випривило дану уразливість. Але цікавий сам факт, що через дірку в одному браузері, експлуатується дірка в іншому 
. До того ж, Microsoft зі своєї сторони відмовилася виправляти дану дірку, мовлял це проблеми Фаєрфокса, що через дірку в IE експлуатується дірка в FF (ця дірка стала таким собі неприємним сюрпризом для FF). Тому виправити “дірку в IE” все ж прийшлось Мозілі в FF.
Як повідомляє www.secblog.info, експерти з питань комп’ютерної безпеки з датської компанії Secunia попереджають про виявлення небезпечної уразливості в браузері Firefox останніх версій.
Проблема, як повідомляється, пов’язана з методом обробки універсальних ідентифікаторів ресурсу (Uniform Resource Identifier, URI). Справа в тім, що Firefox при інсталяції автоматично прописує в реєстрі операційної системи Windows оброблювач URI виду “firefoxurl://”. Це дозволяє зловмисникам за допомогою сформованої спеціальним чином веб-сторінки виконати довільний шкідливий код без відому користувача.
Для організації нападу необхідно, щоб на комп’ютері поряд з Firefox був інстальований браузер Internet Explorer. У цьому випадку за допомогою шкідливого веб-сайта зловмисник може задіяти оброблювач URI і змусити Internet Explorer запустити Firefox з наступним виконанням довільного JavaScript-кода.
За даними Secunia, проблема торкається версії Firefox 2.0 і вище при використанні браузера на цілком пропатченных комп’ютерах з Windows ХР із другим сервіс-паком. Ситуація погіршується тим, що браузер Internet Explorer, необхідний для організації атаки, встановлений на багатьох комп’ютерах з Firefox, оскільки постачається разом з Windows.
Співтовариство Mozilla.org підтвердило факт наявності проблеми і пообіцяло усунути її у версії браузера Firefox з індексом 2.0.0.5. Тим часом, в Інтернеті вже з’явився приклад шкідливого коду, що дозволяє задіяти уразливість. Утім, практичних випадків експлуатації діри поки зафіксовано не було.
