SOS :: Security Operation Space
29 ноября, воскресенье, 00:00
|
Hot News:

Из Firefox для Android можно было извлечь cookies с помощью HTML-файла

18 ноября 2020 г., среда, 07:15

Потенциальный злоумышленник мог использовать специально созданный HTML-файл для извлечения всех cookies из версии Firefox для мобильной операционной системы Android. В последнем релизе браузера Mozilla устранила брешь.

Уязвимость обнаружил исследователь Педро Оливейра, указавший на проблему обработки Firefox локальных файлов через схему content://. Особенности браузера позволили эксперту удалённо получить копии всех cookies-файлов, сохранённых на устройстве пользователя.

Согласно описанию Оливейры, для отработки эксплойта достаточно заставить пользователя открыть специальный HTML. В этом случае вредоносный файл запускал фрейм для файла браузера profiles.ini, содержащего данные профиля пользователя Firefox, а также его файлы cookies.

Благодаря тому, как Firefox обрабатывает такие URI Оливейра смог получить копию локального файла, к которому в нормальных условиях удалённый злоумышленник не должен получить доступ через веб-страницу.

Исследователь передал данные об уязвимости представителям Mozilla, немного доработав эксплойт таким образом, чтобы извлекались все cookies, связанные с профилем пользователя Firefox.

Как выяснил Педро Оливейра, любой файл, загруженный версиями браузера до 68.10.1, обрабатывается именно таким образом. Пользователям Firefox для Android рекомендуют установить последнюю версию интернет-обозревателя и следить за дальнейшими обновлениями.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
14:15
12:15
10:15
07:15
15:15
13:15
10:15
10:15
06:15
15:15
12:15
08:15
06:15
17:15
16:15
15:15
14:15
13:15


© 2013—2020 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.284
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.