Chyba v prohlížeči Mozilla Firefox usnadňuje kyberzločincům krást informace o uživatelích na webových stránkách, kde si uživatelé vytvářejí své vlastní stránky, jako je MySpace.com.
Chyba spočívá v softwaru Password Manager ve Firefoxu, který lze oklamat, aby odeslal informace o hesle na web útočníka, řekl Robert Chapin, prezident Chapin Information Services. Aby tento útok fungoval, musí být útočníci schopni na webu vytvářet formuláře HTML (Hypertext Markup Language), což je něco, co je povoleno na webech blogů a sociálních sítí.
Útok byl použit při phishingovém útoku na MySpace hlášeném koncem října. Při tomto útoku si uživatelé zaregistrovali účet MySpace s názvem login_home_index_html a použili jej k hostování falešné přihlašovací stránky, která tuto chybu zneužívala.
Tato stránka odeslala informace o uživatelském jménu a hesle MySpace na jinou webovou stránku a uživatelé MySpace, kteří stránku navštívili pomocí Firefoxu, mohli snadno získat kompromitaci svých informací, řekl Chapin.
Vývojáři Firefoxu hodnotí tuto chybu jako kritickou, podle an
záznam v databázi Bugzilla projektu. Podle zprávy se chyba týká verzí na všech operačních systémech.Chyba vzniká, protože Správce hesel Firefoxu neprovádí dostatečně důkladnou kontrolu, když se rozhoduje, zda odeslat informace o hesle, a pak nezajistí, že informace o hesle jsou odesílány na server, který si je vyžádal, Chapin řekl. Při útoku na MySpace by například Firefox zkontroloval, zda formulář pochází z MySpace.com domény, ale nezjistil, že informace o hesle byly odesílány zpět do a Server MySpace.
"Z programovacího hlediska je to skoro jako překlep," řekl. „Ironicky si myslím, že to je důvod, proč to nebylo dosud objeveno. Bylo to až příliš zřejmé."
Chapin zveřejnil zprávu analýza tohoto typu útoku, který nazval Reverse Cross-Site Request, stejně jako a ukázka toho, jak to funguje.
Internet Explorer (IE) společnosti Microsoft Corp. je také náchylný k těmto typům útoků, protože např Firefox nezajišťuje, že informace o hesle jsou odesílány na stejný server, který je požaduje, řekl Chapin.
Ale IE je méně pravděpodobné, že bude oklamán, protože dělá důkladnější práci při kontrole, odkud pochází přihlašovací formulář, než automaticky odešle heslo a informace o uživateli, dodal.