Az alig egy hónapja dicséretes gyorsasággal befoltozott biztonsági lyukak után most ismét akad javítanivalója a Mozilla Alapítványnak. A tegnap közzétett hiba a szoftver 1.7.x, valamint a Firefox 1.x és a Camino 0.x verzióit érinti.

A bug távolról sem új keletű: először 1998-ban publikálták a "frame-injekciónak" elkeresztelt támadási módot lehetővé tevő biztonsági rést. A módszer lényege, hogy amennyiben a böngészőben egyszerre van megnyitva egy biztonságos oldal - például kedvenc pénzintézetünk internet-banking oldala - és egy másik, megfelelően manipulált oldal, akkor egy ez utóbbin elhelyezett kóddal a gépünkbe behatolók a biztonságos oldalon is meg tudnak jeleníteni különböző tartalmakat. Például egy eredetinek látszó belépési ablakot, ahová adatainkat begépelve - abban a hiszemben, hogy bankunk megszokott internetes felületére lépünk be - máris továbbítjuk azokat a számítógépes bűnözőknek. Ennek oka, hogy a Mozilla és a többi érintett böngésző nem vizsgálja meg, hogy az ugyanabban a böngészőablakban megjelenített frame-ek valóban ugyanarról a weboldalról származnak-e.

A fellelt hibát a Secunia dán biztonsági cég tette közzé weboldalán. A társaság szakértői a hibát "mérsékelten kritikus" besorolással látták el, és azt tanácsolják az internetezőknek, hogy "ne töltsenek le semmilyen tartalmat ismeretlen vagy nem megbízható forrásból". (Nos, köszönjük az értékes segítséget! - a szerk.)

Szerencsére azért ennél életszerűbb tanácsot is kapunk. Az egyik a Secunia szerverén elhelyezett tesztoldal, amivel próba elé állíthatjuk böngészőnket, hogy lássuk, fenyeget-e minket is a veszély. A másikat pedig a támadási módszer fenti ismertetéséből magunk is kikövetkeztethettük: amikor személyes adatokat adunk meg weben keresztül, akkor kizárólag az adott oldal legyen megnyitva a gépen - ezzel kizárhatjuk a "frame-injekcióhoz" szükséges egyik feltételt, az esetleges ártó szándékú másik weboldal jelenlétét.