Een fout in Mozilla's Firefox-browser maakt het voor cybercriminelen gemakkelijk om gebruikersinformatie te stelen op websites waarop gebruikers hun eigen pagina's maken, zoals MySpace.com.
De fout zit in de Password Manager-software van Firefox, die kan worden misleid om wachtwoordinformatie naar de website van een aanvaller te sturen, zei Robert Chapin, president van Chapin Information Services. Om deze aanval te laten werken, moeten aanvallers HTML-formulieren (Hypertext Markup Language) op de website kunnen maken, iets wat is toegestaan op blog- en sociale netwerksites.
De aanval werd eind oktober gebruikt bij een phishingaanval op MySpace. Bij die aanval registreerden gebruikers een MySpace-account met de naam login_home_index_html en gebruikten dit om een valse inlogpagina te hosten die misbruik maakte van de fout.
Deze pagina stuurde MySpace-gebruikersnaam en -wachtwoordinformatie naar een andere website, en MySpace-gebruikers die de pagina met Firefox bezochten, hadden gemakkelijk hun informatie in gevaar kunnen brengen, zei Chapin.
Firefox-ontwikkelaars beoordelen deze bug als kritiek, volgens een invoer in de Bugzilla-database van het project. De bug treft volgens het rapport versies op alle besturingssystemen.
De fout ontstaat doordat Firefox's Password Manager niet grondig genoeg controleert wanneer het besluit om te verzenden wachtwoordinformatie, en zorgt er vervolgens niet voor dat wachtwoordinformatie wordt verzonden naar de server die erom heeft gevraagd, Chapin gezegd. Bij de MySpace-aanval zou Firefox bijvoorbeeld controleren of het formulier afkomstig was van de MySpace.com-domein, maar zorgde er niet voor dat de wachtwoordinformatie werd teruggestuurd naar een MySpace-server.
"Vanuit programmeeroogpunt is dit bijna een typefout", zei hij. “Ironisch genoeg denk ik dat het daarom tot nu toe niet is ontdekt. Het was gewoon veel te duidelijk.”
Chapin heeft een geplaatst analyse van dit type aanval, dat hij een Reverse Cross-Site Request heeft genoemd, evenals een demonstratie van hoe het werkt.
Internet Explorer (IE) van Microsoft Corp. is ook vatbaar voor dit soort aanvallen omdat, zoals Firefox, het zorgt er niet voor dat wachtwoordinformatie wordt verzonden naar dezelfde server die erom vraagt, zei Chapin.
Maar IE zal minder snel worden misleid omdat het grondiger werk verricht door te controleren waar het inlogformulier vandaan komt voordat het automatisch het wachtwoord en de gebruikersinformatie indient, voegde hij eraan toe.