Firefox 2.0 zdradza hasła

Mozilla Foundation poinformowała o wykryciu poważnej dziury („reverse cross-site request”) w kodzie przeglądarki internetowej Firefox 2.0, która w łatwy sposób umożliwia hakerom uzyskać dostęp do różnych haseł i loginów użytkownika programu.

Najbardziej narażeni na atak hakerów są użytkownicy, którzy korzystają z opcji zapamiętywania haseł, oferowanej przez przeglądarkę Firefox. Wykryta wada kodu przeglądarki pozwala hakerom przekierować dane logowania do serwisu internetowego na fałszywą, podstawioną stronę i tym samym uzyskać hasło dostępu użytkownika.
Defekt został dokładnie opisany przez Roberta Chapina z firmy Chapin Information Services, którego zdaniem problem dotyczy prawdopodobnie wszystkich wersji przeglądarki Firefox. Początkowo przypuszczano, że błąd w takiej mierze dotyczy także Internet Explorera jednak IE7 wypełnia automatycznie tylko te formularze, które pochodzą z tego samego serwera, co witryna, na której się znajdują.
Chapin poinformował, że luka ta wykorzystywana jest już w serwisie MySpace, a na niebezpieczeństwo narażony jest każdy, kto korzysta z forów czy blogów pozwalających użytkownikom na dodawanie własnego kodu HTML do witryny.
Firma Netcraft, która odkryła fałszywe formularze na MySpace poinformowała, że były one przechowywane na serwerze serwisu. Tak więc nawet bardzo ostrożni użytkownicy mogli paść ofiarą przestępców.
Jak dotąd wada nie została jeszcze naprawiona. Firma Mozilla Foundation zapowiedziała czasowe wyłączenie opcji zapamiętywania haseł. Aktualnie trwają prace nad poprawką która zostanie zaimplementowana w nowej wersji Firefox'a 2.0.0.1 lub 2.0.0.2.

Źródło informacji: Vnunet