Firefox 2 umí vyzradit přihlašovací údaje útočníkům

Firefox 2 umí vyzradit přihlašovací údaje útočníkům

Ve webovém prohlížeči Firefox 2, který v poslední době začíná získávat čím dál tím větší uživatelskou základnu, byla nalezena další bezpečnostní mezera.

Podstata zranitelnosti spočívá v principu aktivace automatického vyplňování webových formulářů, obsahujících přihlašovací jméno a heslo. K automatickému vyplnění totiž Firefoxu postačí, pokud mu souhlasí doména zobrazené stránky. Dále však již nezkoumá, kam jsou zadávané údaje odesílány.

Útočník tak může na danou doménu umístit podvržený formulář, pomocí kterého bude od důvěřivých uživatelů získávat automaticky předvyplněné přihlašovací údaje. Odesílaná data samozřejmě budou putovat již na útočníkům server. Problém může nastat zejména na komunitních webech, kde jeden doménový prostor sdílí velká řada uživatelů. Vyplňovaný formulář přitom nemusí být uživateli nijak zviditelněn – Firefox ho vyplní i ve skrytém stavu a uživatel ho může v zápětí nechtěně odeslat například kliknutím na libovolnou komponentu s funkcí tlačítka Odeslat.

Je velmi pravděpodobné, že se tato zranitelnost velmi brzy začne zneužívat v oblasti phishingových útoků. K dispozici je již i ukázkový příklad zneužití.

Podobným chováním trpí rovněž i prohlížeč Internet Explorer, nicméně zranitelnost je téměř nulová – vyplnění údajů není vázáno pouze na doménové jméno, ale na kompletní URL adresu stránky.

Mozilla plánuje opravu této zranitelnosti v některých z budoucích verzí prohlížeče. S narůstajícím počtem uživatelů se postupně začíná objevovat i druhá strana mince popularity – zájem útočníků o potenciální zranitelnosti. Věřme, že Firefox a jeho vývojáři ustojí toto postupné narůstání síly útočníků.

Zdroj: Slashdot.org

Témata článku: Internet Explorer, Firefox

126 komentářů

Nejnovější komentáře

  • smrta smrtouci 23. 1. 2007 17:27:32
    nic si nepamatuj jen to pis do tohodle

    http://keepass.info/...
  • fellow 28. 11. 2006 12:28:12
    Pri instalaci OS mam na vyber tyto 3 sifry:

    1. DES
    2. MD5
    3....
  • Mucgak 28. 11. 2006 9:50:51
    Ty vole, ty už to nehul. Tuhle obhajovací FF úchylku máš už dlouho? Někdy...
Určitě si přečtěte

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

To tu ještě nebylo. Specialisté ukázali, že zavirované mohou být i titulky SRT

** Stáhnete si film a titulky třeba z OpenSubtitles.org ** A osud vás za ten warez záhy potrestá ** Specialisté totiž ukázali, že i v titulcích může být schovaný virus

24.  5.  2017 | Jakub Čížek | 58

Pojďme programovat elektroniku: Postavíme si bezdotykové ovládání PC za stokorunu

Pojďme programovat elektroniku: Postavíme si bezdotykové ovládání PC za stokorunu

** Vzpomínáte na Leap Motion? ** Dnes si postavíme něco podobného za zlomek ceny ** Pohrajeme si s optickým detektorem gest

Včera | Jakub Čížek | 8

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

WannaCry se neměl vůbec rozšířit. Stačilo, abychom používali Windows Update

** WannaCry se masivně rozšířil kvůli zranitelnosti ve Windows ** Ta mu umožnila, aby se pokusil sám napadnout další počítače ** Jenže ta chyba už je dva měsíce opravená!

22.  5.  2017 | Jakub Čížek | 97


Aktuální číslo časopisu Computer

Bojujeme proti Fake News

Dva velké testy: fotoaparáty a NASy

Co musíte vědět o změně evropského roamingu

Radíme s výběrem základní desky