IE7 i Firefox 2.0 dele ranjivosti

Internet Explorer 7 i Firefox 2.0 dele iste logičke propuste. Problem je prilično ozbiljan, pošto dve verzije Microsoft i Mozilla pretraživača nisu jedine verzije koje su ranjive. Ovaj propust je prisutan i u Internet Exploreru 5.01, Internet Exploreru 6 i Internet Exploreru 7, kao i u Firefoxu 1.5.0.9. Microsoft naglašava činjenicu da IE7 na Windows Visti nije ni na koji način pod uticajem ovog propusta.

U svim modernim pretraživačima, <"INPUT TYPE=FILE"> polja u formama (koja se koriste za slanje specifičnih korisničkih fajlova na udaljeni server) poseduju dodatnu zaštitu koja treba da spreči skriptove da proizvoljno biraju lokalne fajlove koje će slati i automatski šalju formu bez znanja korisnika. Na primer, ".value" parametar ne može da se podesi ili promeni, i bilo kakve promene u .type resetuju sadržaj polja", kaže Michael Zalewsky, osoba koja je otkrila IE7 bezbednosnu rupu.

Interakcija korisnika je obavezna da bi se obe bezbednosne rupe uspešno zloupotrebile. U ovom kontekstu, korisnik treba da unese tekst u modifikovana područja na web stranici, ili iz IE ili iz Firefoxa. Zalewski je objasnio da unos sa tastature u nepovezane lokacije može od strane napadača selektivno da se preusmeri u polja za unos.

Da biste videli demonstraciju ranjivosti IE-a kliknite ovde. Ista demonstracija za Firefox je dostupna ovde. Sam napad nije ograničen na određeni operativni sistem.