פרצה בפיירפוקס מאפשרת לזייף כתובות של אתרי אינטרנט

מומחי אבטחה מזהירים מפני הפרצה ● אחד מהם כתב בבלוג, כי "במקרים מסוימים, עלולה הפרצה לשמש להפצת מזיקים וגניבה של מידע רגיש" ● במוזילה לא מתרגשים מכך וטוענים שהמשתמשים מוגנים ● בימים אלה הם שוקדים על תיקון הפרצה

המפתחים של פיירפוקס (Firefox) שוקדים בימים אלה על תיקון פרצה שעלולה למנוע מהדפדפן להתריע על כתובות אינטרנט מזויפות.

עברייני רשת נוהגים לזייף כתובות URL של אתרים כדי שלא לעורר חשד בקרב מבקרים תמימים וקורבנות פוטנציאליים באתרי אינטרנט עוינים. בדפדפנים המודרניים יושמו מנגנונים להתרעה מפני ניסיונות לזיוף כתובות של אתרי אינטרנט, אך מתברר שבפיירפוקס לא מוצגת התרעה מפני ניסיונות לזיוף כתובות בפריימים שבהם מוצגים תכנים שמקורם בצדדים שלישיים.

"בכל הגרסאות של פיירפוקס נתגלה באג ולא מוצגת התרעה מפני כתובות מסולפות ברכיבי iFrames", נכתב בהודעה שפורסמה בבלוג של חברת האבטחה ארמורייז (Armorize). "במקרים מסוימים, עלולה הפרצה לשמש להפצת מזיקים וגניבה של מידע רגיש". החברה פרסמה קוד גנרי להוכחת תפיסה, שממחיש כיצד ניתן לנצל את הפרצה.

זיוף כתובות בפריימים שמציגים תוכן מצד שלישי אינו מנהג חדש, אך ניתן לשלב אותו בשיטות נוספות כדי להפיל בפח משתמשים תמימים – הזהיר חוקר האבטחה דניס פישר בהודעה שפרסם בבלוג של מעבדת קספרסקי (Kaspersky Lab). "מזה שנים רבות נעזרים עברייני הרשת בשיטות שונות כדי לזייף כתובות URL, והפריימים מאפשרים להם לבצע פעולות עוינות ברקע, במהלך גלישה באינטרנט", כתב פישר. "הבאג בפיירפוקס מאפשר לשלב בין שתי הדרכים מבלי שתוצג למשתמש התראה על זיוף הכתובת, ובכך מוסר מהמשוואה אמצעי אבטחה חשוב".

לעומת זאת, ג'ונתן נייטינגייל, מנהל הפיתוח של פיירפוקס בארגון מוזילה (Mozilla), לא מייחס לבעיה חשיבות רבה. לדבריו, "איננו צופים שהבאג יגרום לבלבול או הונאות. המנגנונים המובנים בפיירפוקס להגנה מפני תרמיות פישינג ומזיקים מזהירים את המשתמשים מפני ביקורים בכתובות URL מסוכנות".

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים