Firefox 2 umí vyzradit přihlašovací údaje útočníkům

Ve webovém prohlížeči Firefox 2, který v poslední době začíná získávat čím dál tím větší uživatelskou základnu, byla nalezena další bezpečnostní mezera.

Podstata zranitelnosti spočívá v principu aktivace automatického vyplňování webových formulářů, obsahujících přihlašovací jméno a heslo. K automatickému vyplnění totiž Firefoxu postačí, pokud mu souhlasí doména zobrazené stránky. Dále však již nezkoumá, kam jsou zadávané údaje odesílány.

Útočník tak může na danou doménu umístit podvržený formulář, pomocí kterého bude od důvěřivých uživatelů získávat automaticky předvyplněné přihlašovací údaje. Odesílaná data samozřejmě budou putovat již na útočníkům server. Problém může nastat zejména na komunitních webech, kde jeden doménový prostor sdílí velká řada uživatelů. Vyplňovaný formulář přitom nemusí být uživateli nijak zviditelněn – Firefox ho vyplní i ve skrytém stavu a uživatel ho může v zápětí nechtěně odeslat například kliknutím na libovolnou komponentu s funkcí tlačítka Odeslat.

Je velmi pravděpodobné, že se tato zranitelnost velmi brzy začne zneužívat v oblasti phishingových útoků. K dispozici je již i ukázkový příklad zneužití.

Podobným chováním trpí rovněž i prohlížeč Internet Explorer, nicméně zranitelnost je téměř nulová – vyplnění údajů není vázáno pouze na doménové jméno, ale na kompletní URL adresu stránky.

Mozilla plánuje opravu této zranitelnosti v některých z budoucích verzí prohlížeče. S narůstajícím počtem uživatelů se postupně začíná objevovat i druhá strana mince popularity – zájem útočníků o potenciální zranitelnosti. Věřme, že Firefox a jeho vývojáři ustojí toto postupné narůstání síly útočníků.

Zdroj: Slashdot.org

Témata článku: Internet Explorer, Firefox

126 komentářů

Nejnovější komentáře

  • smrta smrtouci 23. 1. 2007 17:27:32
    nic si nepamatuj jen to pis do tohodle

    http://keepass.info/...
  • fellow 28. 11. 2006 12:28:12
    Pri instalaci OS mam na vyber tyto 3 sifry:

    1. DES
    2. MD5
    3....
  • Mucgak 28. 11. 2006 9:50:51
    Ty vole, ty už to nehul. Tuhle obhajovací FF úchylku máš už dlouho? Někdy...
Určitě si přečtěte

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

Nebuďte jako Emma Watson. Poradíme, jak nepřijít o hanbaté fotky

** Pokud už choulostivé snímky vyfotíte, dbejte na jejich zabezpečení ** Útočníci je nejčastěji získají z cloudového úložiště ** Pozor si dejte i na phishing a řádné zabezpečení telefonu

25.  3.  2017 | Stanislav Janů | 55

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

Aktualizační nástroj Microsoftu nabízí přechod na Creators Update. Funguje to! [Aktualizováno: už ne]

** Aktualizace Creators Update pro Windows 10 ještě nebyla oficiálně uvolněna ** Už ale existuje způsob, jak jí ze serverů Microsoftu dostat ** Úspěšně jsme to vyzkoušeli

28.  3.  2017 | Jakub Čížek | 68

Facebook chce odříznout Google od hlavního zdroje příjmů

Facebook chce odříznout Google od hlavního zdroje příjmů

** Facebook otevřel vlastní reklamní síť dalším hráčům ** Snaží se prosadit efektivnější spojení mezi vydavatelem a inzerentem ** Weby mohou dosáhnout zvýšení příjmů z reklamy až o 30 %

27.  3.  2017 | Karel Javůrek | 12


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Inteligentní domy