[jockeя]

Dün MozillaZine'da yayınlanan bir habere göre, üstünde hem Firefox hem de Internet Explorer çalışan bir sistemde saldırganların Firefox'u kullanıcının onaylamadığı kod çalıştırmaya ikna edebildiği bir açık saptandı.

Açığın kullanımı, Internet Explorer'da bir sayfanın firefoxurl:// şeklinde bir çağrı yapmasıyla başlıyor. Internet Explorer bu çağrıyı doğrudan Firefox'a yönlendiriyor. Bu sırada Internet Explorer da, Firefox da çağrının veya URL'nin düzgünlüğünü kontrol etmiyor; IE çağrıyı kullanıcıya sormadan Firefox'a yönlendirirken, Firefox da bunu yine kullanıcıya sormadan işletiyor. Eğer çağrıda belirli komutlar gömülüyse, Firefox tehlikeli olabilecek bir JavaScript kodu çalıştırabiliyor.

Açığın kimin açığı olduğu tartışmalı. Bazı güvenlik uzmanları bunu bir Internet Explorer açığı olarak nitelendirirken, bazıları da sorunun Firefox'ta olduğunu söylüyor. Her durumda Mozilla, sorunun bir sonraki Firefox güncellemesinde düzeltileceğini belirtti.