Dziura w przeglądarce Mozilla Firefox 2.0
Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwiaon stronom internetowym wykradanie haseł zapisanych w menedżerzehaseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwiazapamiętywanie haseł wpisywanych w formularzach logowania nastronach internetowych. Problem polega na tym, że hasło zostajezapamiętane dla całej domeny. Tak więc hasło wpisane na jednejstronie zostanie wpisane także na innej o ile znajduje się ona wtej samej domenie. Atak można przeprowadzić np. w serwisie zblogami. Wystarczy, że posiadamy tam konto, do którego login ihasło zostało zapamiętane w przeglądarce a atakujący stworzyodpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemyautomatyczne wpisanie naszego loginu i hasła w fomularzprzygotowany przez atakującego. Odpowiedni skrypt może te danepobrać i przekazać atakującemu. Atak ten może się wydawać prosty iłatwy do wykrycia, ale Czytelnicy znający trochę język HTML zpewnością wiedzą, że pola formularza mogą być niewidoczne. W tensposób nasz login i hasło mogą zostać wykradzione całkowicie beznaszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Powejściu na stronę wpisujemy jakiś login i hasło a następniezgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzysię nowa strona z filmem. Po kliknięciu na niego zostaniemyskierowani do Google. Patrząc na pole adresu możemy zauważyć, żeGoogle otrzymało nasz login i hasło. Stało się to dlatego, żeFirefox bez naszej wiedzy wstawił login i hasło do ukrytych pól nastronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowodujewyświetlanie okienka dialogowego zanim pola zostaną wypełnionedanymi.
22.11.2006 04:38