Firefox漏洞讓駭客竊取使用者帳號密碼

更新於 2023/05/15閱讀時間約 2 分鐘

新聞來源:iThome

該漏洞存在於Firefox的密碼管理工具中,駭客可在一個正當的網站上建立一個要求使用者輸入帳號及密碼的HTML網頁,將使用者輸入的帳號及密碼傳送到駭客的網站。

資訊服務業者Chapin在近日公布了一個存在Firefox瀏覽器中的漏洞,並指出駭客已利用該漏洞竊取使用者在知名社交網站MySpace.com上的帳號與密碼。

Chapin Information Services總裁Robert Chapin表示,該漏洞存在於Firefox的密碼管理工具中,駭客可先在一個正當的網站上建立一個要求使用者輸入帳號及密碼的HTML網頁,之後駭客透過Firefox的漏洞將使用者輸入的帳號及密碼傳送到駭客的網站上。

事實上,今年10月底駭客就在MySpace.com上建立了這樣的網頁,只要使用者透過Firefox瀏覽MySpace.com,並在偽造的帳號輸入網頁上填上自己的資料,這些資料就會被傳送到其他網站上。

Robert Chapin說明,這是因為Firefox的密碼管理工具在要傳送密碼資訊時沒有充份的全面檢查。以駭客透過MySpace.com的攻擊為例, Firefox可以偵測到此一要求使用者輸入密碼及帳號的網頁是否來自於MySpace.com伺服器,但卻無法確認那些個人資訊是否被傳送到 MySpace.com。

Robert Chapin將此種攻擊稱為反向跨站要求(Reverse Cross-Site Request,RCSR),並在網路上示範了如何進行該攻擊。

包括Firefox 1.5.0.8及2.0版都受到該漏洞的影響,目前Mozilla已著手進行Firefox 2.0的修補程式,資安業者Secunia則建議使用者可以關閉Firefox中的密碼自動儲存功能。

此外,Robert Chapin說微軟的IE也可能受到影響,因為它一樣無法保證那一要求使用者提供密碼及密碼傳輸的伺服器是否為同一個;不過,IE比Firefox好一點的是,IE並不會自動填入預存的使用者帳號及密碼,而Firefox則會。


對Firefox來說,這真是一項大漏洞,我原本就有感覺到這個超方便的填密碼功能是不是會造成密碼外洩,原本以為只是粗心大意沒看網頁就送出的人,才會發生這種事,果然現在有駭客把它拿來做壞事了。

或許以後火狐就取消這種功能了吧。

    avatar-img
    10會員
    275內容數
    這裡存放各種3C相關的資訊與教學文章,電腦為主,手機為輔
    留言0
    查看全部
    avatar-img
    發表第一個留言支持創作者!
    你可能也想看
    Google News 追蹤
    Thumbnail
    *合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
    Thumbnail
    22.04 開始,Ubuntu 儲存庫中的 Firefox 是一個在沙箱中運行的 Snap 軟體包。如果您想使用經典的 .deb 套件格式安裝最新的 Firefox,有兩種簡單的方法:1.由 Ubuntu 團隊成員維護的Mozilla PPA 。2. Firefox 開發團隊維護的新apt 儲存庫
    XAUTHORITY=$HOME/.Xauthority export XAUTHORITY 啟動,解決  (base) oxooxooxoo@opopopopopop:~$ firefox
    Thumbnail
      根據主計總處的資料顯示,臺灣貧富差距持續擴大,再度創下12年來的歷史新高,兩者差距高達6.15倍,年最高20%的家庭可支配所得每戶達224.4萬元,年增1.8%,而最低20%的家庭每戶可支配所得只有36.5萬元,年增1.8%。
    Thumbnail
    大家好,已經好久沒寫文章了,你們猜我這些時間在做什麼呢? 答案是開發Firefox addon(Firefox 附加功能),這個addon功能是可以指定youtube影片時間軸的時間點播放,為了就是看影片能跳過片頭。那有興趣的請往下看。 下載 首先點擊網址,輸入你的名稱與email訂閱電子報就
    Thumbnail
    行銷漏斗(Marketing Funnel)是指潛在客戶從認識品牌,到最終成為忠實顧客的過程。這個過程可以分成不同的階段,從認知品牌、接觸產品,到考慮購買,最後完成購買決定,以及推薦他人等。了解行銷漏斗的轉換狀況,可以提升行銷資源的投放效率,同時對行銷策略進行檢視和調整,從而提升效益。
    Thumbnail
    要怎麼用CNN來便是智能合約的漏洞呢?上回介紹了能認知文章脈絡的RNN,這是介紹結合word embedding的方法,加上強大的CNN分類器可以讓自然語言分類處理擦出怎麼樣的火花~
    Thumbnail
    在資訊性的時代,幾乎每個企業都有自己的網站,提供最大價值及免費的資訊吸引受眾及潛在客戶,從而提高曝光率及點擊率,有助將其轉換成銷量。若資訊安全的預防措施不足,容易受到網絡攻擊及內部安全問題。在這情況下更顯得網站漏洞掃描對企業的重要性,下文會為大家一一講解網站漏洞掃描。 為什麼企業需要網站漏洞掃描?
    Thumbnail
    鑽法律漏洞,想辦法混過大門警衛的監視等等,英日文講鑽漏洞的時候真的要用「鑽」的嗎?別被中文誤導了,外國人用的動詞跟我們想的不一樣。
    Thumbnail
    *合作聲明與警語: 本文係由國泰世華銀行邀稿。 證券服務係由國泰世華銀行辦理共同行銷證券經紀開戶業務,定期定額(股)服務由國泰綜合證券提供。   剛出社會的時候,很常在各種 Podcast 或 YouTube 甚至是在朋友間聊天,都會聽到各種市場動態、理財話題,像是:聯準會降息或是近期哪些科
    Thumbnail
    22.04 開始,Ubuntu 儲存庫中的 Firefox 是一個在沙箱中運行的 Snap 軟體包。如果您想使用經典的 .deb 套件格式安裝最新的 Firefox,有兩種簡單的方法:1.由 Ubuntu 團隊成員維護的Mozilla PPA 。2. Firefox 開發團隊維護的新apt 儲存庫
    XAUTHORITY=$HOME/.Xauthority export XAUTHORITY 啟動,解決  (base) oxooxooxoo@opopopopopop:~$ firefox
    Thumbnail
      根據主計總處的資料顯示,臺灣貧富差距持續擴大,再度創下12年來的歷史新高,兩者差距高達6.15倍,年最高20%的家庭可支配所得每戶達224.4萬元,年增1.8%,而最低20%的家庭每戶可支配所得只有36.5萬元,年增1.8%。
    Thumbnail
    大家好,已經好久沒寫文章了,你們猜我這些時間在做什麼呢? 答案是開發Firefox addon(Firefox 附加功能),這個addon功能是可以指定youtube影片時間軸的時間點播放,為了就是看影片能跳過片頭。那有興趣的請往下看。 下載 首先點擊網址,輸入你的名稱與email訂閱電子報就
    Thumbnail
    行銷漏斗(Marketing Funnel)是指潛在客戶從認識品牌,到最終成為忠實顧客的過程。這個過程可以分成不同的階段,從認知品牌、接觸產品,到考慮購買,最後完成購買決定,以及推薦他人等。了解行銷漏斗的轉換狀況,可以提升行銷資源的投放效率,同時對行銷策略進行檢視和調整,從而提升效益。
    Thumbnail
    要怎麼用CNN來便是智能合約的漏洞呢?上回介紹了能認知文章脈絡的RNN,這是介紹結合word embedding的方法,加上強大的CNN分類器可以讓自然語言分類處理擦出怎麼樣的火花~
    Thumbnail
    在資訊性的時代,幾乎每個企業都有自己的網站,提供最大價值及免費的資訊吸引受眾及潛在客戶,從而提高曝光率及點擊率,有助將其轉換成銷量。若資訊安全的預防措施不足,容易受到網絡攻擊及內部安全問題。在這情況下更顯得網站漏洞掃描對企業的重要性,下文會為大家一一講解網站漏洞掃描。 為什麼企業需要網站漏洞掃描?
    Thumbnail
    鑽法律漏洞,想辦法混過大門警衛的監視等等,英日文講鑽漏洞的時候真的要用「鑽」的嗎?別被中文誤導了,外國人用的動詞跟我們想的不一樣。