廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 3685 個閱讀者
 
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
ajss9830
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x11
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[漏洞修補] 火狐瀏覽器的漏洞
火狐瀏覽器剛剛發現的一個漏洞可以讓黑客很容易就偷走用戶在他們自己的網頁上留下的信息,比如在MySpace.com上留下的用戶資料。

這個漏洞存在於火狐用戶登錄管理系統,可以將用戶的登錄信息發送到攻擊者指定的網頁,Chapin信息服務集團的總裁RobertChapin說道。為了讓這個攻擊可以執行,攻擊者需要有能力在他們指定的站點建立一個HTML頁面,這個頁面可以記錄日誌並且可以登錄外部網站。

關於這個曾被用於MySpace的網絡釣魚攻擊的報道出現在十月份。在那次攻擊中,用戶用一個MySpace的賬號登錄了一個叫做「login_home_index_html」的頁面,結果進入了利用漏洞所生成的偽裝頁面。

這個頁面將MySpace用戶的ID和通行證信息發送到另外一個站點上,查看站點的MySpace用戶如果使用了火狐瀏覽器的話將會很容易使信息處於危險之中,Chapin說。

根據這個項目開發時的測試數據庫留下的目錄,火狐的開發者將這個漏洞定義為危急級別。

這個漏洞之所以出現,是因為當用戶開始登錄時,火狐的登錄管理器沒有一個足夠徹底的檢查去決定到底是否要發送這個信息,而且不能確定這個通行證信息是否發送到被要求的服務器。Chapin進一步解釋道。例如,在這次針對MySpace的攻擊中,火狐可以確定這個信息是否來自MySpace.com,但是並不能確定這個密碼是否發回到MySpace的服務器上。

「從編程的角度來看,這個行為幾乎就像是印刷」,他繼續說道,「諷刺地是,我在想這個漏洞為什麼直到現在也沒有被發現,它的行為已經表現得如此明顯了。」

Chapin已經將此事的詳細報分析報告,在報告裡,他詳細地給出了這個攻擊的實證。

微軟的IE同樣也容易受到這些類型攻擊的影響,像火狐一樣,它不能確定所提交的用戶信息是否發送到了被請求的頁面。Chapin說。

但是IE並不那麼容易受騙。因為它做了更多徹底的工作在自動提交用戶信息之前檢查這些它們的來源,他補充說。

心得:
我常常用這個軟體下載東西,沒想到卻有漏洞會讓我的私人資料外漏,看樣子得多裝一套防木馬的軟體



獻花 x0 回到頂端 [樓 主] From:臺灣臺北市 | Posted:2006-12-06 04:32 |

首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.053672 second(s),query:15 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言