火狐浏览器被发现某个存在17年的漏洞 可窃取用户本地存储的文件

通过浏览器下载.HTML文件通常都是钓鱼或者网络诈骗,不过研究人员发现有时候还可以用来窃取用户文件。

研究人员发现在火狐浏览器里存在某个长达17年的安全漏洞 , 并且这枚漏洞目前也影响火狐浏览器的最新版。

漏洞主要是借助火狐浏览器的同源策略进行访问的,同源策略允许任意文件访问某个特定文件夹和其中内容。

已经可以完整的利用:

针对火狐浏览器的这个策略其实很早前就有安全人士讨论过,但以前并没有人发布利用漏洞的完整细节等等。

直到现在研究人员成功在火狐浏览器最新版本上实现读取,这可能会让数百万的火狐浏览器用户遭到威胁等。

当然核心问题还是攻击者需要构造特定的代码,接下来还需要诱导用户下载文件再使用火狐浏览器打开文件。

当用户点击该文件上的按钮时即可触发漏洞,然后页面执行相应的代码读取与此文件相同路径下的其他文件。

在测试中研究人员将文件保存到Linux 的主目录,触发漏洞后SSH 密钥等关键的信息成功上传到指定服务器。

火狐浏览器并无计划修复:

正如前文所述该漏洞本身讨论已经很久但是并没有结果,主要是火狐浏览器的同源策略本身并没有什么问题。

火狐浏览器针对研究人员的报告回复称:我们对同源策略的实现就是允许访问相同路径下的文件夹和文件等。

研究人员表示从某些方面来说火狐确实没有什么责任,因为制定这个标准的不是火狐而是互联网工程任务组。

在几年前曾经有类似的漏洞在野外利用,当时用户若点击恶意广告则会触发漏洞用来窃取用户的私密文件等。

但是多数情况下这种攻击可能是针对特定目标的,因此诸如开发者和企业级用户还是需要注意潜在的威胁的。

本文来源 HackerNews,由 山外的鸭子哥 整理编辑,其版权均为 HackerNews 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1
哇哦恭喜您已成功屏蔽了蓝点网的小广告
扫码关注蓝点网微信公众号

评论:

1 条评论,访客:1 条,站长:0 条
  1. fudashuai
    fudashuai发布于: 
    Maxthon 5.2.7.5000 Maxthon 5.2.7.5000 Windows 10 64位版 Windows 10 64位版

    存在了17年的漏洞!不得了!

发表评论