A Firefox 2 és az IE7 is bedől a hamis oldalaknak

A Mozilla Firefox 2 és a Microsoft Internet Explorer 7 egyik gyenge pontja lehetővé teszi, hogy a támadók ellophassák a felhasználók jelszavait. A trükköt már sikerrel alkalmazták a MySpace.com oldalain.

Az RCSR-nek (Reverse Cross-Site Request) hívott kijátszhatósági pont révén a kártevők hamis bejelentkező űrlapokon könnyedén tulajdoníthatják a felhasználók jelszavait, ugyanis a Firefox Password Manager automatikusan kitölt minden elmentett felhasználónevet és jelszót. A Chapin Information Service állítása szerint ezután az adatok már automatikusan átkerülnek a támadó számítógépére - persze a felhasználó tudta nélkül.

Robert Chapin, a hiba felfedezője elmondta, hogy a trükköt már sikerrel alkalmazták a MySpace.com-on és mindenkit érint, aki felhasználó által létrehozott HTML-kód hozzáadását megengedő fórumokat vagy blogokat használ. "A Firefox és az IE-felhasználóknak tisztában kell lenniük azzal, hogy így a megbízhatónak ítélt blogokon és weboldalakon is ellophatják adataikat" - figyelmeztetett Chapin. A myspace-es esetet felfedező Netcraft biztonsági cég szerint a megtévesztő loginoldalt ráadásul a közösségi hálózat saját szerverén helyezték el.

Két héttel ezelőtt a CIS jelentette a Mozillának, hogy a Firefox automatikusan kitölti az elmentett adatokkal az RCSR-es űrlapokat is. A jelek szerint támadások jobban érintik a feltörekvőben lévő böngészőt, mivel az IE csak akkor egészíti ki magától a korrupt bejelentkezéshez mezőket, ha azok az eredeti oldalon tűnnek fel.

Egyelőre még nem érkezett javítás, de a hírek szerint már dolgoznak rajta az Alapítványnál - írja a ZDNet. Azt nem lehet tudni, hogy a probléma a korábbi verziókat is érinti-e. A Secunia biztonsági vállalat mindenkinek azt tanácsolja, hogy a jelszómegjegyzés funkcióját kapcsolják ki a Firefox beállításainál. A CIS arról is beszámolt, hogy az effajta támadások - jellegüknél fogva - igen hatásosak lehetnek a tűzfallal védett gépekkel szemben is.