Dziura w przeglądarce Mozilla Firefox 2.0 Strona główna Aktualności22.11.2006 04:38 Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Firefox bez certyfikatów DarkMatter – Mozilla widzi w nich zagrożenie 10 lip 2019 Oskar Ziomek Oprogramowanie Internet Bezpieczeństwo IT.Pro 27 Firefox dostał własny VPN (choć Mozilla go tak nie nazywa) 12 wrz 2019 Anna Rymsza Oprogramowanie 57 Mozilla SeaMonkey już rok bez nowej wersji. Czy to koniec projektu? 28 lip 2019 Kamil J. Dudek Oprogramowanie 88 Firefox ma nowe logo. Jest więcej ognia, trochę mniej liska 12 cze 2019 Anna Rymsza Oprogramowanie 55
Udostępnij: O autorze Grzegorz Niemirowski Mozilla upubliczniła błąd jaki występuje w Firefoksie 2.0. Umożliwia on stronom internetowym wykradanie haseł zapisanych w menedżerze haseł przeglądarki. Firefox 2.0, podobnie jak wiele innych przeglądarek umożliwia zapamiętywanie haseł wpisywanych w formularzach logowania na stronach internetowych. Problem polega na tym, że hasło zostaje zapamiętane dla całej domeny. Tak więc hasło wpisane na jednej stronie zostanie wpisane także na innej o ile znajduje się ona w tej samej domenie. Atak można przeprowadzić np. w serwisie z blogami. Wystarczy, że posiadamy tam konto, do którego login i hasło zostało zapamiętane w przeglądarce a atakujący stworzy odpowiedni wpis w swoim blogu. Odwiedzając ten wpis spowodujemy automatyczne wpisanie naszego loginu i hasła w fomularz przygotowany przez atakującego. Odpowiedni skrypt może te dane pobrać i przekazać atakującemu. Atak ten może się wydawać prosty i łatwy do wykrycia, ale Czytelnicy znający trochę język HTML z pewnością wiedzą, że pola formularza mogą być niewidoczne. W ten sposób nasz login i hasło mogą zostać wykradzione całkowicie bez naszej wiedzy. Przykład działania luki, tzw. proof-of-concept dostępny jest tutaj. Po wejściu na stronę wpisujemy jakiś login i hasło a następnie zgadzamy się na zapamiętanie tych danych przez Firefoksa. Otworzy się nowa strona z filmem. Po kliknięciu na niego zostaniemy skierowani do Google. Patrząc na pole adresu możemy zauważyć, że Google otrzymało nasz login i hasło. Stało się to dlatego, że Firefox bez naszej wiedzy wstawił login i hasło do ukrytych pól na stronie z filmem. Poprawka nie jest obecnie dostępna. Zaleca się używanie wtyczki Master Password Timeout, która spowoduje wyświetlanie okienka dialogowego zanim pola zostaną wypełnione danymi. Udostępnij: © dobreprogramy Zgłoś błąd w publikacji