Firefox 2和IE7都存在易被黑客偷取密码的缺点。
Firefox 2和IE7都存在易被黑客偷取密码的缺点。
Robert Chapin首先发现了Firefox的这一漏洞。攻击者利用这一漏洞,利用用户点击一个伪造的网站地址,并弹出一个窗口。而Firefox的密码管理器则会自动将任何存在电脑中的用户名和密码填入这个虚假的登录页面。
这个漏洞应该归责于密码管理器在自动填充用户信息之前没有完全的检查这个URL。这就会导致用户信息被盗取然后被黑客利用。
据罗伯特称,利用该缺陷的代码已经出现在社交网站MySpace.com 上,它会影响所有使用能够添加用户生成的HTML代码的博客或论坛的用户。当用户访问那些值得信任的博客和论坛时都可能被盗取信息。
据在MySpace 上发现该利用代码的安全公司Netcraft称,由于虚假的网页不会显示出任何外部内容的蛛丝马迹,因此,即使是最有安全意识的用户也可能上当受骗。
攻击是由一个档案网页发动的,它利用特别设计的HTML隐藏真实的MySpace 内容,而显示它自己的登录表单。
罗伯特表示,RCSR攻击成功的机率要大于跨站点脚本(XSS )攻击,因为在用户提交表单前,IE和Firefox 都不会检查表单数据的目的地。由于攻击是在可信赖的站点上发生的,浏览器也不会报警。
RCSR攻击对于Firefox 更为危险,因为除非RCSR表单出现在合法的登录网页上,IE不会自动地填写保存的用户名和密码。
截止记者发稿时,Mozilla 还没有发布补丁软件。有媒体报道称Mozilla 正在开发针对Firefox 2 的补丁软件,但目前还不清楚早期版本的Firefox 是否会受到影响。安全厂商Secunia 已经建议用户关闭Firefox 的“保存站点密码”选项。
要利用该缺陷,黑客必须在一个可信赖的网站上创建一个虚假的登录表单。网站管理员必须检查服务器代码中是否感染有XSS 和RCSR代码。
更多软件资讯请点击PCHOME首页
网友评论