Firefox: błąd pozwala na przechwycenie haseł

Aviv Raff - izraelski specjalista ds. bezpieczeństwa - wykrył poważną lukę w zabezpieczeniach Firefoksa. Pozwala ona przestępcom na wykradanie danych niezbędnych do zalogowania się do serwisów WWW - np. systemu poczty elektronicznej czy serwisu społecznościowego.

Obraz
Źródło zdjęć: © Mozilla

Problem dotyczy sposobu, w jaki Firefox obsługuje proces uwierzytelniania na stronie wymagającej zalogowania się. Zdaniem Raffa, błąd sprawia, że w pewnych okolicznościach Fx wyświetli pozornie "zaufane" okienko logowania ( z opisu będzie wynikało, że wyświetliła je bezpieczna strona ), ale wprowadzone do niego dane zostaną przesłane do przestępców.

Aviv Raff przedstawił dwa podstawowe sposoby wykorzystania tej luki do przeprowadzenia skutecznego ataku. Pierwszy zakłada umieszczenie na złośliwej stronie odnośnika do "zaufanego" serwisu wymagającego logowania ( np. systemu kont pocztowych lub e-banku ). Po kliknięciu na ów odnośnik, internauta przejdzie na ową stronę i wyświetlone zostanie okienko logowania. Jeśli użytkownik wpisze tam nazwę użytkownika i hasło, dane te zostaną przesłane do przestępców. Drugi scenariusz przewiduje wysłanie do użytkownika ( np. e-mailem ) pliku graficznego, którego kliknięcie spowoduje przejście na stronę logowania ( takim plikiem może być np. logo jakiegoś serwisu ). Wtedy również zostanie wyświetlone pole logowania, a podane w nim informacje przejmą przestępcy.

W każdym z przypadków tak naprawdę wyświetlone zostaną dwa okna logowania o identycznym opisie - z tym, że pierwsze z nich będzie przygotowane przez przestępców. Po podaniu w nim hasła i loginu informacje te zostaną przechwycone ( a następnie wyświetlone zostanie drugie - już autentyczne - okno logowania ).

Izraelski specjalista opublikował w serwisie Youtube.com krótki film pokazujący, jak może zostać wykorzystany ów błąd. Z udostępnionych przez niego informacji wynika, że na taki atak narażona jest najnowsza wersja przeglądarki Mozilli - 2.0.0.11.

Przedstawiciele Fundacji na razie ograniczyli się jedynie do poinformowania, że sprawdzają doniesienia o błędzie.

więcej w serwisie PC World Komputer »

Źródło artykułu: PC World Komputer
Amerykańska matrioszka. Będzie przenosić w sobie pociski
Amerykańska matrioszka. Będzie przenosić w sobie pociski
Produkcja B-2 zakończyła się 25 lat temu. Trump mówi o nowych zamówieniach
Produkcja B-2 zakończyła się 25 lat temu. Trump mówi o nowych zamówieniach
Sąsiad Polski zmienia kierunek produkcji. To przez wojnę w Ukrainie
Sąsiad Polski zmienia kierunek produkcji. To przez wojnę w Ukrainie
USA wzmacniają potencjał. Kompleks Dark Eagle już z pełnym uzbrojeniem
USA wzmacniają potencjał. Kompleks Dark Eagle już z pełnym uzbrojeniem
Rosjanie pokazali nagrania. Kopiują rozwiązania z Ukrainy
Rosjanie pokazali nagrania. Kopiują rozwiązania z Ukrainy
Zyskają Rosjanie? Sojusznik Putina wykorzysta europejski pocisk
Zyskają Rosjanie? Sojusznik Putina wykorzysta europejski pocisk
Powiedzieli "nie". Odradzają Szwecji wysłanie samolotów do Ukrainy
Powiedzieli "nie". Odradzają Szwecji wysłanie samolotów do Ukrainy
Chińskie czołgi. Inspiracja frontem w Ukrainie
Chińskie czołgi. Inspiracja frontem w Ukrainie
Pradawne skały zaskakują. Mogą pochodzić z proto-Ziemi
Pradawne skały zaskakują. Mogą pochodzić z proto-Ziemi
NATO ostrzega przed produkcją rosyjskiej broni. Moskwa wciąż groźna
NATO ostrzega przed produkcją rosyjskiej broni. Moskwa wciąż groźna
Manewry Steadfast Noon 2025. NATO ćwiczy użycie broni jądrowej
Manewry Steadfast Noon 2025. NATO ćwiczy użycie broni jądrowej
Talibowie wyciągają potężną broń. Nie powinni jej mieć
Talibowie wyciągają potężną broń. Nie powinni jej mieć