Firefox 2 i IE7 ułatwiają kradzież haseł
Zarówno w Firefoksie 2, jak i Internet Explorerze 7 występuje luka, która pozwala atakującemu na kradzież haseł użytkownika.
Robert Chapin, odkrywca błędu, nazwał go „reverse cross-site request” (RCSR).
Cyberprzestępca może ukraść użytkownikowi hasło, podsuwając mu fałszywy formularz.
Firefox Password Manager automatycznie wstawi tam przechowywane przez siebie hasła i nazwy użytkownika i wysyła je, bez wiedzy użytkownika, atakującemu.
W podobny sposób przebiega atak na Internet Explorera, chociaż ta przeglądarka zapewnia większe bezpieczeństwo.
Chapin poinformował, że luka ta wykorzystywana jest już w serwisie MySpace, a na niebezpieczeństwo narażony jest każdy, kto korzysta z forów czy blogów pozwalających użytkownikom na dodawanie własnego kodu HTML do witryny.
Firma Netcraft, która odkryła fałszywe formularze na MySpace poinformowała, że były one przechowywane na serwerze serwisu. Tak więc nawet bardzo ostrożni użytkownicy mogli paść ofiarą przestępców.
Mozilla Foundation została poinformowana o problemie przed dwoma tygodniami. Tego typu atak jest łatwiej przeprowadzić za pomocą Firefoksa, gdyż przeglądarka ta automatycznie wypełnia każdy formularz. IE7 wypełnia tylko te, które pochodzą z tego samego serwera, co witryna, na której się znajdują.
Źródło: Arcabit