“Netscape” naršyklė parodo disko turinį, leidžia valdyti kompiuterį

Apsaugos ekspertas Danas Brumleve’as rado “didžiulę” skylę “Communicator” naršyklėje. Jis sukūrė “Java” programėlę-apletą (applet) “Brown Orifice”, kuriuo pasinaudojant galima pamatyti prie svetainės prisijungusio kompiuterio turinį.
Pasinaudodamas “Netscape” “Java” standarto trūkumais D.Brumleve’o apletas kompiuterį paverčia bylų serveriu - diske esančias bylas gali pamatyti bet kuris, prisijungęs pažeisto kompiuterio IP adresu.

“Brown Orifice” pavadinimas panašus į kitos programos “Back Orifice” pavadinimą. Pasinaudoję šia programa įsilaužėliai gali per atstumą valdyti bet kurį kompiuterį, kuriame yra įdiegtas specialus modulis.

“Netscape” vartotojams gyventi nesaugu

Pavojingas apletas gali būti ne tik įterpiamas į tinklalapį, tačiau ir atsiunčiamas elektroniniu paštu - pažeidžiami “Netscape Mail” naudojantys internautai.

“Kas nors atsiunčia jums laišką, o jūs nusiunčiate jam informaciją apie savo diskų turinį - tai pakankama, kad sukeltų katastrofą”, - teigė D.Brumleve’as.

Kompiuteryje pradėjęs veikti apletas nesustoja, kol neišjungiama “Communicator” naršyklė ir parodo visas kompiuteryje esančias bylas, bei leidžia jas bet kaip keisti.

Pasak D.Brumleve’o, apletas veikia “Communicator” 4.5 iki 4.7 versijose, kurios šiuo metu yra naudojamos dažniausiai. Apletas veikia ir “Windows” ir “Linux” operacijų sistemose.

“Netscape” atstovai atsisakė komentuoti šią problemą.

“Brown Orifice” - vietoje “Napster”?

Kai kurie įsilaužėliai mano, kad “Brown Orifice” galima pritaikyti ir geriems tikslams. Pavyzdžiui, pritaikius tam tikrus apribojimus, jį būtų galima naudoti vietoje bylų keitimosi programos “Napster”. Tačiau būtina tam sąlyga - kad neatsirastų piktų kėslų turinčių asmenų.

Pasak D.Brumleve’o, klaidą naršyklėje jis atrado praėjusią savaitę “žaisdamas” su “Java”. Jo teigimu, netrukus po klaidos atradimo jis sugalvojo, kaip ja būtų galima pasinaudoti ir sukūrė minėtąjį apletą.

D.Brumleve’as pasinaudojo dvejomis “Java” “galimybėmis”. Viena iš jų leidžia “Java” apletams atverti serverį, kuriuo galėtų naudotis tam tikri kompiuteriai. Kita klaida randama tik “Netscape” - ji leidžia “Java” pasiekti adresus (URL), kuriais gali būti ir kompiuteryje esančios bylos.

Verslo kompiuteriams grėsmės nėra

Pasak apsaugos ekspertų, dėl “Brown Orifice” jau nukentėjo apie 1000 vartotojų. Apie 86 proc. internautų naudoja “Internet Explorer” naršyklę, likusius 14 proc. dalijasi “Communicator”, “Opera” ir kitos naršyklės.

Ekspertų teigimu, verslo kompiuteriai nėra pažeidžiami, kadangi juo saugo kompanijos vidinio tinklo “ugnies siena” (firewall).

www.DELFI.lt
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją
 

Aktualijos

Gabus chemikas virto vienu iš žiauriausių žudikų Lietuvos istorijoje? (481)

2017 kovo mėn. 27 d. 23:10
4 sušaudyti žmonės. Vienas sunkiai sužeistas. Toki kraujo klaną, kaip įtariama, paliko Egidijus Anupraitis. Kas nutiko, kad labai gabus ir užsienyje studijavęs kaunietis galėjo tapti vienu žiauriausių žudikų Lietuvos istorijoje? Įtariama, kad 26 metų vyras išžudė savo šeimos narius.

Orai: reikia sulaukti balandžio (6)

2017 kovo mėn. 28 d. 00:00
Orai: reikia sulaukti balandžio
DELFI / Kęstutis Cemnolonskis
Iki trečiadienio galėsime pasidžiaugti saulėtu dangumi, nors bus vėjuota, visgi vyraus pakankami šilti orai.

Kraupus nusikaltimas pakaunėje: išžudyta šeima, ieškomas ginkluotas ir labai pavojingas jaunas vyras nuolat pildoma (1441)

2017 kovo mėn. 27 d. 19:54
Keturių žmonių nužudymu įtariamas vyras
Policija
Pakaunėje pirmadienio vakarą rastas kraupus radinys - Gaižėnų kaime rasti net keturių žmonių lavonai su šautinėmis žaizdomis. Įtarimų šešėlis krito ant vieno iš nužudytųjų sūnaus. DELFI žiniomis, tai Egidijus Anupraitis. Manoma, kad nusikaltimas galėjo būti įvykdytas ne pirmadienį. Kone pusšimtis pareigūnų šukavo kaimo apylinkes ieškodami įtariamojo. Tai iki šiol pareigūnams nežinomas, nė karto neteistas ir psichinėmis problemomis nesiskundęs jaunas vyras, dirbęs apsaugininku. Iš nužudymo vietos jis spruko pagrobęs ir du ginklus.

E. Lucasas: kad taptų tikrai pavojingi, protestuojantys rusai turi prabilti apie kitą žmogų (170)

2017 kovo mėn. 27 d. 20:12
Sekmadienį įvykę protestai Rusijoje žymėjo didžiausią išreikštą rusų nepasitenkinimo bangą nuo 2011-2012 metų, bet britų apžvalgininkas Edwardas Lucasas teigia, kad tai gana menko masto nepasitenkinimas, kuris tikrai neišjudins Vladimiro Putino režimo. Pašnekovas spėja, kad tai gali būti netgi V. Putino sumanytas planas, kaip pakišti Dmitrijų Medvedevą.

Savo auklėtinius budinti turėjęs Š. Jasikevičius prisiminė sudėtingą praėjusią savaitę (4)

2017 kovo mėn. 27 d. 22:13
Įpusėjus pirmam ketvirčiui „Žalgiris“ buvo surinkęs vos 5 taškus, o namuose rungtyniavę Alytaus „Dzūkijos“ krepšininkai pabėgo į priekį 19:5. Šarūnas Jasikevičius minutės pertraukėlės metu ir po pirmojo kėlinio tikrai turėjo pastabų savo auklėtiniams. Antrajame ketvirtyje išsijudinę svečiai pavijo drąsiai mačą pradėjusią „Dzūkiją“ ir po dviejų ketvirčių turėjo 10-ies taškų persvarą.