CNET科技資訊網11月23日國際報道 Firefox 2 和IE 7都存在一個缺陷,黑客可能利用該缺陷竊取用戶的密碼。
該缺陷被其發現者羅伯特稱作是“逆向跨站點請求”(RCSR),它使黑客能夠通過顯示一個虛假的登錄表單而竊取用戶的帳戶名和密碼。
Firefox Password Manager會自動地在表單中輸入保存的帳戶名和密碼。數據會在用戶不知情的情況下被發送給黑客的計算機。
據羅伯特稱,利用該缺陷的代碼已經出現在社交網站MySpace.com 上,它會影響所有使用能夠添加用戶生成的HTML代碼的博客或論壇的用戶。
他說,Firefox 和IE用戶必須意識到,當訪問可信賴的博客或論壇網站時,他們的資料可能會在不知不覺之間被竊取。
據在MySpace 上發現該利用代碼的安全公司Netcraft稱,由於虛假的網頁不會顯示出任何外部內容的蛛絲馬跡,因此,即使是最有安全意識的用戶也可能上當受騙。
攻擊是由一個檔案網頁發動的,它利用特別設計的HTML隱藏真實的MySpace 內容,而顯示它自己的登錄表單。
羅伯特表示,RCSR攻擊成功的機率要大於跨站點腳本(XSS )攻擊,因為在用戶提交表單前,IE和Firefox 都不會檢查表單數據的目的地。由於攻擊是在可信賴的站點上發生的,浏覽器也不會報警。
RCSR攻擊對於Firefox 更為危險,因為除非RCSR表單出現在合法的登錄網頁上,IE不會自動地填寫保存的用戶名和密碼。
截止記者發稿時,Mozilla 還沒有發布補丁軟件。有媒體報道稱Mozilla 正在開發針對Firefox 2 的補丁軟件,但目前還不清楚早期版本的Firefox 是否會受到影響。安全廠商Secunia 已經建議用戶關閉Firefox 的“保存站點密碼”選項。
要利用該缺陷,黑客必須在一個可信賴的網站上創建一個虛假的登錄表單。網站管理員必須檢查服務器代碼中是否感染有XSS 和RCSR代碼。
