“Netscape” naršyklė parodo disko turinį, leidžia valdyti kompiuterį

Apsaugos ekspertas Danas Brumleve’as rado “didžiulę” skylę “Communicator” naršyklėje. Jis sukūrė “Java” programėlę-apletą (applet) “Brown Orifice”, kuriuo pasinaudojant galima pamatyti prie svetainės prisijungusio kompiuterio turinį.
Pasinaudodamas “Netscape” “Java” standarto trūkumais D.Brumleve’o apletas kompiuterį paverčia bylų serveriu - diske esančias bylas gali pamatyti bet kuris, prisijungęs pažeisto kompiuterio IP adresu.

“Brown Orifice” pavadinimas panašus į kitos programos “Back Orifice” pavadinimą. Pasinaudoję šia programa įsilaužėliai gali per atstumą valdyti bet kurį kompiuterį, kuriame yra įdiegtas specialus modulis.

“Netscape” vartotojams gyventi nesaugu

Pavojingas apletas gali būti ne tik įterpiamas į tinklalapį, tačiau ir atsiunčiamas elektroniniu paštu - pažeidžiami “Netscape Mail” naudojantys internautai.

“Kas nors atsiunčia jums laišką, o jūs nusiunčiate jam informaciją apie savo diskų turinį - tai pakankama, kad sukeltų katastrofą”, - teigė D.Brumleve’as.

Kompiuteryje pradėjęs veikti apletas nesustoja, kol neišjungiama “Communicator” naršyklė ir parodo visas kompiuteryje esančias bylas, bei leidžia jas bet kaip keisti.

Pasak D.Brumleve’o, apletas veikia “Communicator” 4.5 iki 4.7 versijose, kurios šiuo metu yra naudojamos dažniausiai. Apletas veikia ir “Windows” ir “Linux” operacijų sistemose.

“Netscape” atstovai atsisakė komentuoti šią problemą.

“Brown Orifice” - vietoje “Napster”?

Kai kurie įsilaužėliai mano, kad “Brown Orifice” galima pritaikyti ir geriems tikslams. Pavyzdžiui, pritaikius tam tikrus apribojimus, jį būtų galima naudoti vietoje bylų keitimosi programos “Napster”. Tačiau būtina tam sąlyga - kad neatsirastų piktų kėslų turinčių asmenų.

Pasak D.Brumleve’o, klaidą naršyklėje jis atrado praėjusią savaitę “žaisdamas” su “Java”. Jo teigimu, netrukus po klaidos atradimo jis sugalvojo, kaip ja būtų galima pasinaudoti ir sukūrė minėtąjį apletą.

D.Brumleve’as pasinaudojo dvejomis “Java” “galimybėmis”. Viena iš jų leidžia “Java” apletams atverti serverį, kuriuo galėtų naudotis tam tikri kompiuteriai. Kita klaida randama tik “Netscape” - ji leidžia “Java” pasiekti adresus (URL), kuriais gali būti ir kompiuteryje esančios bylos.

Verslo kompiuteriams grėsmės nėra

Pasak apsaugos ekspertų, dėl “Brown Orifice” jau nukentėjo apie 1000 vartotojų. Apie 86 proc. internautų naudoja “Internet Explorer” naršyklę, likusius 14 proc. dalijasi “Communicator”, “Opera” ir kitos naršyklės.

Ekspertų teigimu, verslo kompiuteriai nėra pažeidžiami, kadangi juo saugo kompanijos vidinio tinklo “ugnies siena” (firewall).

www.DELFI.lt
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją
 

Aktualijos

Prabilo apie valdžios keitimąsi Baltarusijoje: geriau procesas būtų kontroliuojamas (7)

2017 vasario mėn. 21 d. 18:28
Baltarusijoje vykstant gyventojų protestui dėl vadinamojo „veltėdžių mokesčio“, šalies opozicijos lyderiai įžvelgia naujas galimybes. Jie prabilo apie Aleksandro Lukašenkos režimo destabilizaciją ir ieško galimybių pasinaudoti susidariusia situacija teigiamiems pokyčiams.

Paaiškėjo, kas Lietuvoje siuva prabangius rūbus D. Camerono žmonos įmonei (125)

2017 vasario mėn. 21 d. 15:49
Algirdas Butkevičius lankėsi "Kauno Baltija" įmonėje
DELFI / Rafael Achmedov
Neseniai paaiškėjo, kad brangūs buvusio Didžiosios Britanijos ministro pirmininko Davido Camerono žmonos Samanthos kuriami drabužiai siuvami Rytų Europoje.

Kokią žinutę atsiuntė JAV karinis laivas Klaipėdoje? (49)

2017 vasario mėn. 21 d. 18:02
JAV karinio laivo „USS Hue City“ vizitas Klaipėdos uoste siunčia žinutę, kad JAV jūrų pajėgos kartu su sausumos pajėgomis bei galinga aviacija gali atsidurti šiame krašte pakankamai greitai ir atnešti karinę galią, galinčią pakeisti visą saugumo padėtį šiame regione.

Pranešė apie pažeidimą, tačiau nukentėjo pats: prabilo dar vienas vilnietis Valstybinė duomenų apsaugos inspekcija pradėjo tyrimą (378)

2017 vasario mėn. 21 d. 14:56
DELFI aprašius atvejį, kai apie ne vietoje pastatytą automobilį Vilniaus miesto savivaldybę per programėlę „Tvarkau Vilnių“ informavusio sostinės gyventojo duomenys galimai buvo atskleisti pažeidėjui, į redakciją kreipėsi ir dar vienas į panašią situaciją patekęs skaitytojas.

Vokietijos socialdemokratų lyderis M. Schulzas pradeda ataką prieš Europos karalienę (44)

2017 vasario mėn. 21 d. 17:00
Vokietijos socialdemokratų (SPD) lyderis Martinas Schulzas gali nugalėti dabartinę kanclerę Angelą Merkel rugsėjo mėnesį parlamento rinkimuose su savo neabejotinai kairiąja programa, dėl kurios susilaukė kaltinimų nuokrypiu į populizmą, rodo visuomenės apklausų rezultatai.