Znajdź zawartość

W Internet Explorerze 7 znaleziono lukę, która może zostać wykorzystana do przeprowadzenie ataków phishingowych. Problem leży w sposobie, w jakim IE7 przechowuje informację o błędzie, która jest pokazywana, gdy użytkownik przerwie ładowanie strony WWW. Komunikat głosi, że ładowanie strony zostało przerwane przez użytkownika i proponuje jej odświeżenie. Błąd polega na tym, że atakujący może w miejsce odnośnika, który umożliwia odświeżenie, podstawić inny adres i skierować użytkownika na fałszywą stronę. Aviv Raff, odkrywca luki, informuje, że w ten sposób można skierować użytkownika na stronę, która wygląda identycznie, jak witryna np. banku czy serwisu aukcyjnego. Błąd pozwala na zarażenie komputera skryptem, który, po naciśnięciu przycisku "odśwież”, będzie wyświetlał użytkownikowi takie strony, jakich zażyczy sobie atakujący. Metoda taka zwana jest XSS (cross-site scripting). Błąd występuje w IE7 dla Windows XP i Visty.

Google załatało groźną dziurę w Google Desktop. Luka została odkryta w ubiegłym roku przez analityków firmy Watchfire Corp. Można ją spotkać w około 80% aplikacji sieciowych, jednak szczególnie niebezpieczna była w produkcie Google’a. Google Desktop to darmowe narzędzie, które pozwala wyszukiwać i indeksować przechowywane na komputerze dane tak, jak czyni to wyszukiwarka internetowa. Okazało się, że Google Desktop jest podatny na atak typu cross-site scripting. Pozwala on na zainstalowanie i uruchomienie szkodliwego kodu na komputerze wykorzystującym Google Desktop. Atakujący może doprowadzić do infekcji w różnych sposób, np. wysyłając potencjalnej ofierze e-mail. Jeśli atak się powiedzie, cyberprzestępca może przeszukiwać komputer ofiary i, prawdopodobnie, zyskać nad nim całkowitą kontrolę. Watchfire poinformował Google’a o luce 4 stycznia, a 1 lutego jego pracownicy otrzymali informację, że dziura została załatana.

Google załatał w swoim serwisie hostingowym lukę, która pozwalała na przeprowadzenie ataku XSS (cross-site scripting). Umożliwiała ona podejrzenie dokumentów, arkuszy kalkulacyjnych, tematów e-maili oraz historii wyszukiwarki użytkownika. Błąd powstał po tym, jak Google zaktualizował oprogramowanie niektórych swoich usług. Przed kilkoma dniami odkryto inną lukę powstałą po aktualizacji. Pozwalała ona na stworzenie strony internetowej przechowywanej w domenie google.com, za pomocą której można było ukraść ciasteczka (cookie) użytkowników i uzyskać dostęp do wykorzystywanych przez nich serwisów Google’a.