广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 2244 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
Firefox漏洞让骇客窃取使用者帐号密码
Firefox漏洞让骇客窃取使用者帐号密码
Firefox漏洞让骇客窃取使用者帐号密码
IThome 2006/11/24

该漏洞存在于Firefox的密码管理工具中,骇客可在一个正当的网站上建立一个要求使用者输入帐号及密码的HTML网页,将使用者输入的帐号及密码传送到骇客的网站。

资讯服务业者Chapin在近日公布了一个存在Firefox浏览器中的漏洞,并指出骇客已利用该漏洞窃取使用者在知名社交网站MySpace.com上的帐号与密码。

Chapin Information Services总裁Robert Chapin表示,该漏洞存在于Firefox的密码管理工具中,骇客可先在一个正当的网站上建立一个要求使用者输入帐号及密码的HTML网页,之后骇客透过Firefox的漏洞将使用者输入的帐号及密码传送到骇客的网站上。

事实上,今年10月底骇客就在MySpace.com上建立了这样的网页,只要使用者透过Firefox浏览MySpace.com,并在伪造的帐号输入网页上填上自己的资料,这些资料就会被传送到其他网站上。

Robert Chapin说明,这是因为Firefox的密码管理工具在要传送密码资讯时没有充份的全面检查。以骇客透过MySpace.com的攻击为例, Firefox可以侦测到此一要求使用者输入密码及帐号的网页是否来自于MySpace.com伺服器,但却无法确认那些个人资讯是否被传送到 MySpace.com。

Robert Chapin将此种攻击称为反向跨站要求(Reverse Cross-Site Request,RCSR),并在网路上示范了如何进行该攻击。

包括Firefox 1.5.0.8及2.0版都受到该漏洞的影响,目前Mozilla已着手进行Firefox 2.0的修补程式,资安业者Secunia则建议使用者可以关闭Firefox中的密码自动储存功能。

此外,Robert Chapin说微软的IE也可能受到影响,因为它一样无法保证那一要求使用者提供密码及密码传输的伺服器是否为同一个;不过,IE比Firefox好一点的是,IE并不会自动填入预存的使用者帐号及密码,而Firefox则会。



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾和信超媒体宽带网 | Posted:2006-11-27 00:29 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.048285 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言