В Firefox 2.0 также обнаружена ANI-уязвимость

Firefox 2.0 так же уязвим к атаке с использованием анимированных курсоров Windows (ANI), как и Internet Explorer 7 под Vista с выключенной функцией защиты данных от исполнения (DEP), выяснили специалисты компании Determina.

Компании удалось написать код, эксплуатирующий уязвимость в браузере от Mozilla, однако он не будет выпущен до появления заплатки, сказал главный инженер по анализу приложений Александр Сотиров.

Для пользователей Firefox 2.0 эта критическая уязвимость может иметь более плачевные последствия, чем для тех, кто работает в Internet Explorer 7 в так называемом «защищённом режиме», с урезанными правами. Код, попавший в систему через Firefox, получает права пользователя, запустившего браузер, а в IE7 — ограниченные права, не позволяющие менять информацию на диске, однако не препятствующие краже данных.

Уязвимость ANI позволяет злоумышленнику выполнить произвольный код в системе, направив пользователя на специально сформированный файл анимированного курсора, сообщил Джордж Оу (George Ou) в блоге ZDNet.