2006. november 24. 21:53, Péntek
A Mozilla Firefox 2 és a Microsoft Internet Explorer 7 egyik gyenge pontja lehetővé teszi, hogy a támadók ellophassák a felhasználók jelszavait. A trükköt már sikerrel alkalmazták a MySpace.com oldalain.
Az RCSR-nek (Reverse Cross-Site Request) hívott kijátszhatósági pont révén a kártevők hamis bejelentkező űrlapokon könnyedén tulajdoníthatják a felhasználók jelszavait, ugyanis a Firefox Password Manager automatikusan kitölt minden elmentett felhasználónevet és jelszót.
A Chapin Information Service
állítása szerint ezután az adatok már automatikusan átkerülnek a támadó számítógépére - persze a felhasználó tudta nélkül.
Robert Chapin, a hiba felfedezője elmondta, hogy a trükköt már sikerrel alkalmazták a MySpace.com-on és mindenkit érint, aki felhasználó által létrehozott HTML-kód hozzáadását megengedő fórumokat vagy blogokat használ.
"A Firefox és az IE-felhasználóknak tisztában kell lenniük azzal, hogy így a megbízhatónak ítélt blogokon és weboldalakon is ellophatják adataikat" - figyelmeztetett Chapin.
A
myspace-es esetet felfedező Netcraft biztonsági cég szerint a megtévesztő loginoldalt ráadásul a közösségi hálózat saját szerverén helyezték el.
Két héttel ezelőtt a CIS jelentette a Mozillának, hogy a Firefox automatikusan kitölti az elmentett adatokkal az RCSR-es űrlapokat is. A jelek szerint támadások jobban érintik a feltörekvőben lévő böngészőt, mivel az IE csak akkor egészíti ki magától a korrupt bejelentkezéshez mezőket, ha azok az eredeti oldalon tűnnek fel.
Egyelőre még nem érkezett javítás, de a hírek szerint már dolgoznak rajta az Alapítványnál - írja a
ZDNet. Azt nem lehet tudni, hogy a probléma a korábbi verziókat is érinti-e. A Secunia biztonsági vállalat mindenkinek azt tanácsolja, hogy a jelszómegjegyzés funkcióját kapcsolják ki a Firefox beállításainál. A CIS arról is beszámolt, hogy az effajta támadások - jellegüknél fogva - igen hatásosak lehetnek a tűzfallal védett gépekkel szemben is.