मोज़िला के फ़ायरफ़ॉक्स ब्राउज़र में एक दोष साइबर अपराधियों के लिए उन वेब साइटों पर उपयोगकर्ता की जानकारी चुराना आसान बनाता है जहां उपयोगकर्ता अपने स्वयं के पेज बनाते हैं, जैसे कि MySpace.com।
चैपिन इंफॉर्मेशन सर्विसेज के अध्यक्ष रॉबर्ट चैपिन ने कहा, यह खामी फ़ायरफ़ॉक्स के पासवर्ड मैनेजर सॉफ्टवेयर में है, जिसे धोखा देकर किसी हमलावर की वेबसाइट पर पासवर्ड की जानकारी भेजी जा सकती है। इस हमले को काम करने के लिए, हमलावरों को वेब साइट पर HTML (हाइपरटेक्स्ट मार्कअप लैंग्वेज) फॉर्म बनाने में सक्षम होना चाहिए, जिसकी ब्लॉगिंग और सोशल नेटवर्किंग साइटों पर अनुमति है।
इस हमले का उपयोग अक्टूबर के अंत में रिपोर्ट किए गए माइस्पेस फ़िशिंग हमले में किया गया था। उस हमले में, उपयोगकर्ताओं ने log_home_index_html नामक एक माइस्पेस खाता पंजीकृत किया और इसका उपयोग एक नकली लॉग-इन पेज होस्ट करने के लिए किया जिसने दोष का फायदा उठाया।
चैपिन ने कहा, इस पेज ने माइस्पेस उपयोगकर्ता नाम और पासवर्ड की जानकारी किसी अन्य वेब साइट पर भेज दी, और फायरफॉक्स का उपयोग करके पेज पर जाने वाले माइस्पेस उपयोगकर्ताओं की जानकारी से आसानी से छेड़छाड़ की जा सकती थी।
एक के अनुसार फ़ायरफ़ॉक्स डेवलपर्स इस बग को गंभीर मानते हैं प्रोजेक्ट के बगज़िला डेटाबेस में प्रविष्टि. रिपोर्ट के मुताबिक, बग सभी ऑपरेटिंग सिस्टम के वर्जन को प्रभावित करता है।
यह दोष इसलिए उत्पन्न होता है क्योंकि फ़ायरफ़ॉक्स का पासवर्ड प्रबंधक यह तय करते समय पर्याप्त जांच नहीं करता है कि भेजना है या नहीं पासवर्ड की जानकारी, और फिर यह सुनिश्चित नहीं करता है कि पासवर्ड की जानकारी उस सर्वर को भेजी जा रही है जिसने इसका अनुरोध किया था, चैपिन कहा। उदाहरण के लिए, माइस्पेस हमले में, फ़ायरफ़ॉक्स यह देखने के लिए जाँच करेगा कि क्या फॉर्म आ रहा है MySpace.com डोमेन, लेकिन यह सुनिश्चित नहीं किया कि पासवर्ड जानकारी वापस भेजी जा रही थी माइस्पेस सर्वर.
"प्रोग्रामिंग के दृष्टिकोण से, यह लगभग एक टाइपो की तरह है," उन्होंने कहा। “विडंबना यह है कि मुझे लगता है कि इसीलिए इसे अब तक खोजा नहीं जा सका है। यह बिल्कुल स्पष्ट था।"
चैपिन ने एक पोस्ट किया है विश्लेषण इस प्रकार के हमले को उन्होंने रिवर्स क्रॉस-साइट रिक्वेस्ट करार दिया है, साथ ही एक यह कैसे काम करता है इसका प्रदर्शन.
Microsoft Corp. का इंटरनेट एक्सप्लोरर (IE) भी इस प्रकार के हमलों के प्रति संवेदनशील है, जैसे फ़ायरफ़ॉक्स, यह सुनिश्चित नहीं करता है कि पासवर्ड की जानकारी उसी सर्वर पर भेजी जा रही है जो इसका अनुरोध करता है, चैपिन ने कहा.
उन्होंने कहा, लेकिन आईई के साथ धोखा होने की संभावना कम है क्योंकि यह स्वचालित रूप से पासवर्ड और उपयोगकर्ता जानकारी सबमिट करने से पहले यह जांचने में अधिक गहन काम करता है कि लॉग-इन फॉर्म कहां से आ रहा है।