Kolejne luki w przeglądarkach

Michał Zalewski (Lcamtuf) poinformował o odkryciu błęduwystępującego w najnowszych wersjach najpopularniejszychprzeglądarek - Firefox 2.0.0.1 (zarówno w wersji dla Windows iLinuksa) i Internet Explorera 7. W określonych okolicznościach błądten pozwala na nieautoryzowany dostęp do plików użytkownika. Luka dotyczy formularzy typu File, pozwalających między innymi nawysyłanie plików z lokalnego komputera na serwer właścicielastrony. Tego typu formularze posiadają zabezpieczenieuniemożliwiające skryptom edytowanie ich zawartości, dzięki czemuniemożliwe jest automatyczne pobieranie plików z komputeraużytkownika. Michał Zalewski zauważył jednak, że istnieje sposób na selektywne,automatyczne przenoszenie wpisywanych przez użytkownika zdań zinnego formularza do formularza File, a w konsekwencji na kradzieżplików z komputera. Atak wymaga pewnej interakcji ze stronyużytkownika, jednak możliwe jest takie spreparowanie strony, żeużytkownik nieświadomie z niej korzystając narazi się naatak. Szczegółowy opis błędu znajduje się na stronieMichała Zalewskiego. Aktualnie żadne łatki nie są dostępne.