火狐浏览器被发现某个存在17年的漏洞 可窃取用户本地存储的文件
通过浏览器下载.HTML文件通常都是钓鱼或者网络诈骗,不过研究人员发现有时候还可以用来窃取用户文件。
研究人员发现在火狐浏览器里存在某个长达17年的安全漏洞 , 并且这枚漏洞目前也影响火狐浏览器的最新版。
漏洞主要是借助火狐浏览器的同源策略进行访问的,同源策略允许任意文件访问某个特定文件夹和其中内容。
针对火狐浏览器的这个策略其实很早前就有安全人士讨论过,但以前并没有人发布利用漏洞的完整细节等等。
直到现在研究人员成功在火狐浏览器最新版本上实现读取,这可能会让数百万的火狐浏览器用户遭到威胁等。
当然核心问题还是攻击者需要构造特定的代码,接下来还需要诱导用户下载文件再使用火狐浏览器打开文件。
当用户点击该文件上的按钮时即可触发漏洞,然后页面执行相应的代码读取与此文件相同路径下的其他文件。
在测试中研究人员将文件保存到Linux 的主目录,触发漏洞后SSH 密钥等关键的信息成功上传到指定服务器。
正如前文所述该漏洞本身讨论已经很久但是并没有结果,主要是火狐浏览器的同源策略本身并没有什么问题。
火狐浏览器针对研究人员的报告回复称:我们对同源策略的实现就是允许访问相同路径下的文件夹和文件等。
研究人员表示从某些方面来说火狐确实没有什么责任,因为制定这个标准的不是火狐而是互联网工程任务组。
在几年前曾经有类似的漏洞在野外利用,当时用户若点击恶意广告则会触发漏洞用来窃取用户的私密文件等。
但是多数情况下这种攻击可能是针对特定目标的,因此诸如开发者和企业级用户还是需要注意潜在的威胁的。