火狐现严重漏洞黑客轻易盗取用户密码

互联网 | 编辑: 周黎俊 2012-06-08 00:00:00转载

火狐浏览器刚刚发现的一个漏洞可以让黑客很容易就偷走用户在他们自己的网页上留下的信息,比如在 MySpace.com 上留下的用户资料。

这个漏洞存在于火狐用户登录管理系统,可以将用户的登录信息发送到攻击者指定的网页,Chapin 信息服务集团的总裁 RobertChapin 说道。为了让这个攻击可以执行,攻击者需要有能力在他们指定的站点建立一个 HTML 页面,这个页面可以记录日志并且可以登录外部网站。

关于这个曾被用于 MySpace 的网络钓鱼攻击的报道出现在十月份。在那次攻击中,用户用一个 MySpace 的账号登录了一个叫做“login_home_index_html”的页面,结果进入了利用漏洞所生成的伪装页面。

这个页面将 MySpace 用户的 ID 和通行证信息发送到另外一个站点上,查看站点的 MySpace 用户如果使用了火狐浏览器的话将会很容易使信息处于危险之中,Chapin 说。

根据这个项目开发时的测试数据库留下的目录,火狐的开发者将这个漏洞定义为危急级别。

这个漏洞之所以出现,是因为当用户开始登录时,火狐的登录管理器没有一个足够彻底的检查去决定到底是否要发送这个信息,而且不能确定这个通行证信息是否发送到被要求的服务器。Chapin 进一步解释道。例如,在这次针对 MySpace 的攻击中,火狐可以确定这个信息是否来自 MySpace.com,但是并不能确定这个密码是否发回到 MySpace 的服务器上。

“从编程的角度来看,这个行为几乎就像是印刷”,他继续说道,“讽刺地是,我在想这个漏洞为什么直到现在也没有被发现,它的行为已经表现得如此明显了。”

Chapin 已经将此事的详细报分析报告,在报告里,他详细地给出了这个攻击的实证。

微软的 IE 同样也容易受到这些类型攻击的影响,像火狐一样,它不能确定所提交的用户信息是否发送到了被请求的页面。Chapin 说。

但是 IE 并不那么容易受骗。因为它做了更多彻底的工作在自动提交用户信息之前检查这些它们的来源,他补充说。 

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑