Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych.
Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy.
Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem.
Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi.
Źródło: dobreprogramy.pl
poleca:
