GIFAR cel mai bun vector de atac al anului 2008

Un juriu format din Rich Mogull, Chris Hoff, H D Moore si Jeff Forristal , dupa cum ne informeaza blogul lui Jeremiah Grossman, a desemnat GIFAR cea mai  buna metoda de exploatare a anului 2008 . Prezentata prima data in august 2008 la Blackhat de catre  Nathan McFeters, John Heasman, Rob Carter noul concept propune inserarea unui cod java intr-o imagine GIF (GIF+JAR)=GIFAR. Noua „imagine” va reusi sa treaca peste restrictiile legate de „same origin policy” care restrictioneaza modalitatea in care limbajele de programare care ruleaza in browser acceseaze alte resurse sau metode decit cele din domeniul de unde provin. Ce inseamna asta: un script de pe site-ul Evil.com nu poate accesa cookie-ul din domenul mybank.com.

Dar acum, datorita faptului ca Java nu tine cont de aceasta restrictie exista posibilitatea ca daca concomitent navigam pe site-ul evil.com acesta sa poata accesa resursele site-ului mybank.com.  Scripturi java pot fi inserate si in documente Word2007 sau alte resurse cum ar fii video-uri. Aplicatie imediata? Facebook (care intre timp a fost patch-uit) sau alte site-uri colaborative.  Odata logat pe Facebook si accesind alta pagina, contul tau (cookie-ul) tau este furat. Intreaga prezentare poate fi citita aici si un video despre cum se face aici.

Protectie? Patch your java.

Have fun.