Уязвимость в Mozilla Firefox 2.0

23/11/2006 11:15

В Mozilla Firefox обнаружена уязвимость, позволяющая похищать пользовательскую информацию на сайтах, подобных MySpace.com, которые предоставляют пользователям возможность создания собственных страниц. Ошибка связана с работой модуля Password Manager. Для проведения атаки необходимо, чтобы у атакующего была возможность создания HTML-форм на сайте, что допускается сайтами Web-дневников и социальных сетей. В конце октября злоумышленниками, воспользовавшимися уязвимостью, была создана учетная запись на MySpace под названием login_home_index_html, соответствующая которой страница была замаскирована под страницу захода на сайт, куда пользователи MySpace заманивались путем фишинга. После ввода имени и пароля они передавались атакующим. Разработчики Firefox оценивают ошибку, как весьма критическую: Password Manager не следит за тем, чтобы пароль отправлялся на запрашивающий его сервер (баг получил индекс #360493). Как отмечают специалисты, аналогичной уязвимости подвержен Internet Explorer, который тоже не проверяет сервер, на который отправляются введенные регистрационные данные.
Cтраница демонстрации