Firefox には 17 年間放置されたセキュリティ上の欠陥があり、リモート PC にあるファイルが盗まれる可能性があります。この脆弱性は、概念実証を行ったセキュリティ研究者 Bartak Tawily によって暴露されました。悪意のある人がユーザーの知らないうちにデータを PC にダウンロードする方法を次に示します。
モジラFirefox を安全なブラウザにする取り組みを強化そしてプライバシーを最大限に尊重します。ただし、いくつかのここ数カ月でセキュリティ上の脆弱性が発見された、最も最近のことはわずか2週間前に遡ります。あるセキュリティ研究者が、同様に重大な別の脆弱性を指摘しました。
Firefox: 17 年前のセキュリティ上の欠陥が暴露
単純に破損した HTML ファイルにより、攻撃者は PC 上のディレクトリとそのサブディレクトリの内容にアクセスできます。この欠陥は、特定のオリジンからロードされたドキュメントまたはスクリプトを管理する方法における Firefox の欠陥に基づいています。 「Same Origin Policy」(SOP)と呼ばれるこれらのアクセス制御ルールにより、1 つのオリジンからコンテンツにアクセスできないことが保証されます。あ起源からB.
セキュリティ研究者は、オリジンがサーバー上ではなくローカル (file:///home/user/ など) にある場合、次のように説明しています。Firefox には、同じディレクトリにあるすべてのファイルを表示できるという欠陥があります。、この場合は、悪意のある HTML ファイルが保存されているファイルです。すべてのサブディレクトリとそこに含まれるファイルにアクセスすることも可能です。
研究者の Tawily 氏によると、SOP の安全でない実装を変更していないブラウザは Firefox だけです。他のブラウザ (少なくとも最も一般的なブラウザ) は、同じディレクトリ内のファイルを別の場所からのものとして扱います。
こちらもお読みください:Firefox 67 が利用可能になり、ブラウザが 2 倍高速になりました
ブログノートでこの脆弱性の概念実証を発表した研究者によると、攻撃者は被害者に到達するためにいくつかの段階を経る必要がある。悪意のある HTML ファイルをダウンロードしました電子メールやその他のチャネルを通じてファイルを受信した場合、Firefox でファイルを開き、ハッカーがディレクトリやサブディレクトリにアクセスできるようにするトラップ ボタンをクリックするか、インターフェイス「Fetch API」プログラミング ツールを使用して必要に応じてファイルを回復する必要があります。
ソース :GitHub のバラク・タウィリー
