新聞來源:iThome
該漏洞存在於Firefox的密碼管理工具中,駭客可在一個正當的網站上建立一個要求使用者輸入帳號及密碼的HTML網頁,將使用者輸入的帳號及密碼傳送到駭客的網站。
資訊服務業者Chapin在近日公布了一個存在Firefox瀏覽器中的漏洞,並指出駭客已利用該漏洞竊取使用者在知名社交網站MySpace.com上的帳號與密碼。
Chapin Information Services總裁Robert Chapin表示,該漏洞存在於Firefox的密碼管理工具中,駭客可先在一個正當的網站上建立一個要求使用者輸入帳號及密碼的HTML網頁,之後駭客透過Firefox的漏洞將使用者輸入的帳號及密碼傳送到駭客的網站上。
事實上,今年10月底駭客就在MySpace.com上建立了這樣的網頁,只要使用者透過Firefox瀏覽MySpace.com,並在偽造的帳號輸入網頁上填上自己的資料,這些資料就會被傳送到其他網站上。
Robert Chapin說明,這是因為Firefox的密碼管理工具在要傳送密碼資訊時沒有充份的全面檢查。以駭客透過MySpace.com的攻擊為例, Firefox可以偵測到此一要求使用者輸入密碼及帳號的網頁是否來自於MySpace.com伺服器,但卻無法確認那些個人資訊是否被傳送到 MySpace.com。
Robert Chapin將此種攻擊稱為反向跨站要求(Reverse Cross-Site Request,RCSR),並在網路上示範了如何進行該攻擊。
包括Firefox 1.5.0.8及2.0版都受到該漏洞的影響,目前Mozilla已著手進行Firefox 2.0的修補程式,資安業者Secunia則建議使用者可以關閉Firefox中的密碼自動儲存功能。
此外,Robert Chapin說微軟的IE也可能受到影響,因為它一樣無法保證那一要求使用者提供密碼及密碼傳輸的伺服器是否為同一個;不過,IE比Firefox好一點的是,IE並不會自動填入預存的使用者帳號及密碼,而Firefox則會。
對Firefox來說,這真是一項大漏洞,我原本就有感覺到這個超方便的填密碼功能是不是會造成密碼外洩,原本以為只是粗心大意沒看網頁就送出的人,才會發生這種事,果然現在有駭客把它拿來做壞事了。
或許以後火狐就取消這種功能了吧。