Firefox 2.0 gubi hasła

Dziura wykryta w nowej wersji Firefoxa umożliwia wykradanie haseł zapamiętanych przez przeglądarkę - co gorsza, dziura ta jest aktywnie wykorzystywana przez złodziei.

Firefox 2.0 może paść ofiarą ataku Reverse Cross-Site Request, który - w skrócie - polega na przekonaniu przeglądarki połączonej z serwerem złodzieja, że łączy się z serwerem np. "ebay.pl". A jeśli tak, to powinna wypełnić odpowiednie pola w formularzach naszymi hasłami zapamiętanymi przez przeglądarkę dla serwisu "ebay.pl". Co gorsza, użytkownik może się wcale nie dowiedzieć że jego hasła zostały gdziekolwiek wpisane - w udostępnionej przez firmę CIS (która opisała dziurę) demonstracji wystarczy kliknąć na plugin z filmem, by hasła zostały wysłane w zapytaniu GET do dowolnego serwera (w demonstracji do Google - warto przyjrzeć się dokładnie URL w pasku adresu).

Autorzy Firefoksa potwierdzili obecność dziury (#360493) i zapowiedzieli ekspresowe wypuszczenie poprawionej wersji 2.0.0.1 lub 2.0.0.2. Błąd nie występuje w przeglądarce Microsoft Internet Explorer. Zajmująca się badaniami serwerów WWW firma Netcraft poinformowała, że ataki tego typu stwierdzono już pod koniec października i były one skierowane przeciwko użytkownikom serwisu MySpace.

Tymczasowe rozwiązania to niekorzystanie z zapamiętywania haseł (zwłaszcza, jeśli mamy tę funkcję zabezpieczone hasłem głównym) lub zainstalowanie dodatkowych pluginów takich jak Master Password Timeout, które umożliwiają przynajmniej każdorazowe potwierdzenie wydania haseł.

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.