Strona główna » Forum »
Strona główna Firefox main Forum Firefox forum Dlaczego Firefox Dlaczego Firefox Download Download Kontakt
Firefox: błąd pozwala na przechwycenie haseł[04.01.2008]

Aviv Raff - izraelski specjalista ds. bezpieczeństwa - wykrył poważną lukę w zabezpieczeniach Firefoksa. Pozwala ona przestępcom na wykradanie danych niezbędnych do zalogowania się do serwisów WWW - np. systemu poczty elektronicznej czy serwisu społecznościowego. Problem dotyczy sposobu, w jaki Firefox obsługuje proces uwierzytelniania na stronie wymagajšcej zalogowania się. Zdaniem Raffa, błšd sprawia, że w pewnych okolicznościach Fx wyświetli pozornie "zaufane" okienko logowania (z opisu będzie wynikało, że wyświetliła je bezpieczna strona), ale wprowadzone do niego dane zostaną przesłane do przestępców. Aviv Raff przedstawił dwa podstawowe sposoby wykorzystania tej luki do przeprowadzenia skutecznego ataku. Pierwszy zakłada umieszczenie na złośliwej stronie odnośnika do "zaufanego" serwisu wymagajšcego logowania (np. systemu kont pocztowych lub e-banku). Po kliknięciu na ów odnośnik, internauta przejdzie na ową stronę i wyświetlone zostanie okienko logowania. Jeśli użytkownik wpisze tam nazwę użytkownika i hasło, dane te zostaną przesłane do przestępców. Drugi scenariusz przewiduje wysłanie do użytkownika (np. e-mailem) pliku graficznego, którego kliknięcie spowoduje przejście na stronę logowania (takim plikiem może być np. logo jakiegoś serwisu). Wtedy również zostanie wyświetlone pole logowania, a podane w nim informacje przejmą przestępcy. W każdym z przypadków tak naprawdę wyświetlone zostanš dwa okna logowania o identycznym opisie - z tym, że pierwsze z nich będzie przygotowane przez przestępców. Po podaniu w nim hasła i loginu informacje te zostanš przechwycone (a następnie wyświetlone zostanie drugie - już autentyczne - okno logowania). Izraelski specjalista opublikował w serwisie Youtube.com krótki film pokazujšcy, jak może zostać wykorzystany ów błąd. Z udostępnionych przez niego informacji wynika, że na taki atak narażona jest najnowsza wersja przeglądarki Mozilli - 2.0.0.11. Przedstawiciele Fundacji na razie ograniczyli się jedynie do poinformowania, że sprawdzają doniesienia o błędzie.


Źródło: IDG

Copyright 2006 by Akcja-Firefox.pl All rights Reserved.