Błąd w Firefoksie 2.0 - uwaga na menedżer haseł
Mozilla poinformowała o błędzie w przeglądarce Firefox, który w pewnych warunkach może być wykorzystany do kradzieży takich danych, jak nazwa użytkownika i hasło. Dopóki producent nie wyda poprawki, warto zastosować tymczasowe rozwiązanie.
reklama
Błąd dotyczy sposobu zarządzania hasłami przez menedżer haseł . W Firefoksie hasło wpisane do formularza zapamiętywane jest dla całej domeny. Kradzież danych jest możliwa, jeśli tylko złodziej danych będzie mógł założyć sobie stronę w takiej samej domenie jak ofiara, a jest to możliwe np. w serwisach społecznościowych.
Atak polega na skierowaniu użytkownika na stronę, która zwyczajnie pobierze od użytkownika jego login i hasło. W dodatku przestępca może ukryć ukryć pole formularza i wtedy atak będzie trudny do wykrycia. Generalnie taka metoda ataku została określona mianem Reverse Cross-Site Request (RCSR) i więcej na jej temat możemy poczytać na stronie odkrywcy błędu i autora kodu proof-of-concept, Roberta Chapina.
Odwiedzając stronę z kodem proof-of-concept możemy przetestować podatność swojej przeglądarki.
Do czasu udostępnienia łatki przez Mozillę zalecane jest zaprzestanie korzystania z menedżera haseł. Ewentualnie można użyć rozszerzenia Master Password Timeout, które sprawi że przed wprowadzeniem danych do formularza zostanie wyświetlone okno z ostrzeżeniem.