Firefox 2.0 gubi hasła

Dziura wykryta w nowej wersji Firefoxa umożliwia wykradanie haseł zapamiętanych przez przeglądarkę - co gorsza, dziura ta jest aktywnie wykorzystywana przez złodziei.

Firefox 2.0 może paść ofiarą ataku Reverse Cross-Site Request, który - w skrócie - polega na przekonaniu przeglądarki połączonej z serwerem złodzieja, że łączy się z serwerem np. "ebay.pl". A jeśli tak, to powinna wypełnić odpowiednie pola w formularzach naszymi hasłami zapamiętanymi przez przeglądarkę dla serwisu "ebay.pl". Co gorsza, użytkownik może się wcale nie dowiedzieć że jego hasła zostały gdziekolwiek wpisane - w udostępnionej przez firmę CIS (która opisała dziurę) demonstracji wystarczy kliknąć na plugin z filmem, by hasła zostały wysłane w zapytaniu GET do dowolnego serwera (w demonstracji do Google - warto przyjrzeć się dokładnie URL w pasku adresu).

Autorzy Firefoksa potwierdzili obecność dziury (#360493) i zapowiedzieli ekspresowe wypuszczenie poprawionej wersji 2.0.0.1 lub 2.0.0.2. Błąd nie występuje w przeglądarce Microsoft Internet Explorer. Zajmująca się badaniami serwerów WWW firma Netcraft poinformowała, że ataki tego typu stwierdzono już pod koniec października i były one skierowane przeciwko użytkownikom serwisu MySpace.

Tymczasowe rozwiązania to niekorzystanie z zapamiętywania haseł (zwłaszcza, jeśli mamy tę funkcję zabezpieczone hasłem głównym) lub zainstalowanie dodatkowych pluginów takich jak Master Password Timeout, które umożliwiają przynajmniej każdorazowe potwierdzenie wydania haseł.


Zobacz również