Независимый эксперт по кибербезопасности Барак Тавили (Barak Tawily) обнаружил способ, с помощью которого злоумышленники на протяжении 17 лет могли получать доступ к файлам на компьютере через уязвимость в браузере Mozilla Firefox.В своем блоге он рассказал, что для этого используется вредоносный HTML-файл.
Тавили пояснил, что Firefox — единственный из основных браузеров, в котором до сих пор используется ненадежная реализация механизма для открытия в браузере файлов, хранящихся на компьютере или в локальной сети через схему URI «file://».Эксперт продемонстрировал, как благодаря комбинации приемов ему удалось получить список файлов из той же папки, куда был загружен вредоносный HTML-файл, а также отправить собранные данные на удаленный сервер.Для реализации атаки нужно убедить жертву загрузить и открыть вредоносный HTML-файл в браузере Firefox и кликнуть на фальшивую кнопку.
Процесс занимает несколько секунд и незаметен для пользователя.Тавили сообщил о проблеме инженерам Mozilla, однако в компании, судя по всему, не планируют как-либо решать вопрос с уязвимостью.
Читать на lenta.ru