Firefox przyjmuje ciasteczka od obcych

15 lutego 2007 0 przez Michał Tomaszkiewicz

Zła passa Firefoksa trwa – Michał Zalewski powiadomił o odkryciu kolejnej luki w przeglądarce, tym razem umożliwiającej przejęcie ciasteczka zostawionego przez inną witrynę.

Przez użycie ciągu znaków „\x00” (na przykład: www.phisher.pl\x00bank.com.pl) przeglądarka może być oszukana o adresie domeny próbującej zostawić bądź zmodyfikować ciasteczko. Może to posłużyć phisherom do pełniejszego odwzorowania podrabianej witryny i oszukania zabezpieczeń antyphisherskich.

Luka znajduje w najnowszej edycji przeglądarki, oznaczonej numerem 2.0.0.1 – prawdopodobnie występuje też w starszych wersjach Firefoksa. Skrypt obrazujący działanie mechanizmu znajduje się tutaj.

Luka została uznana za poważna. O pierwszych przymiarkach do jej załatania można przeczytać w komentarzach Bugzilli.