En feil i Mozillas Firefox-nettleser gjør det enkelt for nettkriminelle å stjele brukerinformasjon på nettsider der brukere lager sine egne sider, for eksempel MySpace.com.
Feilen ligger i Firefoxs Password Manager-programvare, som kan lures til å sende passordinformasjon til en angripers nettside, sa Robert Chapin, president for Chapin Information Services. For at dette angrepet skal fungere, må angripere kunne lage HTML-skjemaer (Hypertext Markup Language) på nettsiden, noe som er tillatt på blogging og sosiale nettverkssider.
Angrepet ble brukt i et MySpace phishing-angrep rapportert i slutten av oktober. I det angrepet registrerte brukere en MySpace-konto kalt login_home_index_html og brukte den til å være vert for en falsk påloggingsside som utnyttet feilen.
Denne siden sendte MySpace-brukernavn og passordinformasjon til et annet nettsted, og MySpace-brukere som besøkte siden ved hjelp av Firefox kunne lett ha fått informasjonen sin kompromittert, sa Chapin.
Firefox-utviklere vurderer denne feilen som kritisk, ifølge en
oppføring i prosjektets Bugzilla-database. Feilen påvirker versjoner på alle operativsystemer, ifølge rapporten.Feilen oppstår fordi Firefoxs passordbehandling ikke utfører en grundig nok sjekk når den bestemmer seg for å sende passordinformasjon, og sikrer da ikke at passordinformasjon sendes til serveren som ba om det, Chapin sa. I MySpace-angrepet, for eksempel, ville Firefox sjekke for å se om skjemaet kom fra MySpace.com-domenet, men sørget ikke for at passordinformasjonen ble sendt tilbake til en MySpace-server.
"Fra et programmeringssynspunkt er dette nesten som en skrivefeil," sa han. "Ironisk nok tror jeg at det er grunnen til at det ikke har blitt oppdaget før nå. Det var bare altfor åpenbart."
Chapin har postet en analyse av denne typen angrep, som han har kalt en Reverse Cross-Site Request, samt en demonstrasjon av hvordan det fungerer.
Microsoft Corp.s Internet Explorer (IE) er også mottakelig for denne typen angrep fordi, som Firefox, sikrer den ikke at passordinformasjon sendes til samme server som ber om det, sa Chapin.
Men IE er mindre sannsynlig å bli lurt fordi den gjør en grundigere jobb med å sjekke hvor påloggingsskjemaet kommer fra før det automatisk sender inn passord og brukerinformasjon, la han til.