20.02.2013 | 18:49

Adam Haertle

Firefox, lcamtuf i błąd 407

Najnowsza wersja Firefoxa 19.0 łata ciekawy błąd, zgłoszony przez Michała Zalewskiego. Co prawda sam lcamtuf jeszcze go nie opisał na swoim blogu, ale z opisu łaty można wywnioskować, że błąd umożliwia podszywanie się pod serwisy, korzystające z połączeń https. W tym celu wykorzystywana jest nieprawidłowa obsługa błędu http 407, czyli braku prawidłowej autoryzacji na serwerze proxy. Atakujący, kontrolujący serwer proxy między atakowanym a serwerem docelowym, może wymusić próbę autoryzacji, a gdy użytkownik anuluje okno logowania, przeglądarka wyświetli komunikat o błędzie (którego treść kontrolowana jest przez serwer proxy), jednocześnie pozostawiając w pasku adresu np. ciąg https://mbank.pl.

Aktualizacja: Pojawił się już wpis na blogu lcamtufa, opisujący odkryty błąd.

Powrót

Komentarz

  • 2013.06.22 10:19 Angus

    Nieźle. Zostalo wydumac jak wydumac kontrole nad owym proxy (ew. a-la arpspoof i przekierowac na siebie ruch 'jako na proxy’ ). fajne, tnx

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Firefox, lcamtuf i błąd 407

Komentarze