« Allahs döttrar | Startsidan | Elcertifikat »
3 augusti 2004
Säkerhetslucka i Mozilla
There's a funny little trend going on here, one that most of you are probably trying to ignore: as users move away from Internet Explorer and towards a different browser, that browser suddenly starts to accumulate exploits at an increased rate.
Detta ovan skriver Eric på Geek.com. Jag är benägen att hålla med honom. Alla de år jag tuffat på med Netscape, från första versionen till 7.* har jag aldrig behövt patcha den browsern. Jag har lugnt kunnat koppla av och småle lite åt alla panikpatchar användarna av Internet Explorer fått tanka ned och installera genom åren. Det kan jag inte längre tydligen eftersom jag gått över till Mozilla. Jag mår illa tänkte jag nästan skriva :)). Det rimmade så bra. Fullt så farligt är det inte. Men utvecklingen oroar mig.
I takt med att användningen av Mozilla och Firefox ökar verkar benägenheten att hitta säkerhetshål i dessa brynare vara mer intressant än tidigare. Jag har svårt att avgöra om det beror på att de är sämre än Netscape rent säkerhetsmässigt eller att koden börjar bli så komplicerad och avancerad att det öppnar upp för detta?
En nyupptäckt säkerhetslucka i Mozilla och Firefox gör det möjligt för en angripare att förfalska brynarens gränssnitt.
Saxat ur artikeln ovan:
Sårbarheten har att göra med möjligheten att använda olika utseenden, eller "skins" på webbläsargränssnitten. Gränssnitten kan skräddarsys efter användarens önskemål genom att XUL-filer (XML User interface Language) används. Problemet är att varken Mozilla eller Firefox hindrar webbsidor från att implementera egna XUL-filer. En hackare kan därför konstruera en webbsida med en XUL-fil som i den angripna webbläsaren visar falska dialogrutor för exempelvis säkerhetscertifikat, med möjlighet att skicka inmatade information vidare.
Jag anser att denna möjlighet att välja utseende bara är fråga om kosmetika och om det nu kan utnyttjas av hackare så borde Mozilla-gänget snarast se till att man kan avaktivera möjligheten att använda olika utseenden och därmed hindra obehöriga att kasta in egna XUL-filer i brynaren; eller fixa problemet så snart som det bara är möjligt. Jag skulle klara mig utan denna funktion och använder Classic per default. Just i skrivande stund verkar ingen patch finnas. Jag hittar inte ens info på Mozillas sajt om detta nya problem som säkerhetsföretaget Secunia har hittat.
Mozilla Foundation har dragit igång en kampanj där användare uppmanas att hitta kritiska säkerhetsluckor i företagets applikationer. De som hittar några får ekonomisk ersättning. Kanske något för Microsoft att ta efter?
Så länge inte detta är fixat. Följ inga underliga skumma länkar. Håll dig på de upplysta gatorna på Internet. Det är för övrigt ett gott råd i vanliga fall också :).
// Annica Tiger
Annica Tiger augusti 3, 2004 5:46 EM