Firefox 2.0 gubi hasła

 Dziura wykryta w nowej wersji Firefoxa umożliwia wykradanie hase  
zapamiętanych przez przeglądarkę - co gorsza, dziura ta jest aktywnie
wykorzystywana przez złodziei.
 
   Firefox 2.0 może paść ofiarą ataku Reverse Cross-Site Request, który - w skrócie - polega na przekonaniu przegląda ki połączonej z serwerem złodzieja, że łączy się z serwerem np. "ebay.pl". A jeśli tak, to powinna wypełnić odpowiednie pola w formularzach naszymi hasłami zapamiętanymi przez przeglądarkę dla serwisu "ebay.pl". Co gorsza, użytkownik może się wcale nie dowiedzieć że jego hasła zostały gdziekolwiek wpisane - w udostępnionej przez firmę CIS (która opisała dziurę) demonstracji wystarczy kliknąć na plugin z filmem, by hasła zostały wysłane w zapytaniu GET do dowolnego serwera (w demonstracji do Google - warto przyjrzeć się dokładnie URL w pasku adresu).
 
Autorzy Firefoksa potwierdzili obecność dziury (#360493) i zapowiedzieli
ekspresowe wypuszczenie poprawionej wersji 2.0.0.1 lu  2.0.0.2. Błąd nie
występuje w przeglądarce Microsoft Internet Explorer. Zajmująca się badaniami serwerów WWW firma Netcraft poinformowała, że ataki tego typu stwierdzono już pod koniec października i były one skierowane przeciwko użytkownikom serwisu MySpace.
 
Tymczasowe rozwiązania to niekorzystanie z zapamiętywania haseł  (zwłaszcza, jeśli mamy tę funkcję zabezpieczone hasłem głównym) lub  zainstalowanie dodatkowych pluginów takich jak Master  Password Timeout, które umożliwiają przynajmniej każdorazowe potwierdzenie wydania haseł.

Źródło: Computerworld