Stručnjak za informacijsku sigurnost Michal Zalewski demonstrirao je slabost u web preglednicima koja se može iskoristiti za prijevaru korisnika. Ranjivost se pojavljuje zbog načina na koji web preglednici obrađuju zahtjeve za preuzimanjem datoteka s interneta (točnije, problem je u obradi Content-Disposition zaglavlja HTTP protokola).
Problem leži u tome što web preglednici ne prikazuju punu URL adresu s koje preuzimaju dokument u adresnoj traci. Web preglednici preuzimaju zlonamjerne datoteke, a da se pritom korisnicima čini kako ona dolazi s legitimnog web sjedišta.
Zalewski tvrdi kako su trenutno svi veći preglednici ranjivi te se sigurnosne nadogradnje još čekaju. Detaljnije informacije o ranjivosti i demonstracija dostupne su na blogu Zalewskog: lcamtuf.blogspot.com/2012/05/yes-you-can-have-fun-with-downloads.html.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.