Уязвимость в браузере 17 лет позволял воровать данные пользователей с компьютера

Независимый эксперт по кибербезопасности Барак Тавили (Barak Tawily) обнаружил способ, с помощью которого злоумышленники на протяжении 17 лет могли получать доступ к файлам на компьютере через уязвимость в браузере Mozilla Firefox.В своем блоге он рассказал, что для этого используется вредоносный HTML-файл.

Тавили пояснил, что Firefox — единственный из основных браузеров, в котором до сих пор используется ненадежная реализация механизма для открытия в браузере файлов, хранящихся на компьютере или в локальной сети через схему URI «file://».Эксперт продемонстрировал, как благодаря комбинации приемов ему удалось получить список файлов из той же папки, куда был загружен вредоносный HTML-файл, а также отправить собранные данные на удаленный сервер.Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку.

Процесс занимает несколько секунд и незаметен для пользователя.Тавили сообщил о проблеме инженерам Mozilla, однако в компании, судя по всему, не планируют как-либо решать вопрос с уязвимостью.